Source: Intel Insights (Substack). Dans ce billet de recherche, les auteurs montrent comment partir d’un unique domaine C2 (nonsazv.qpon) pour cartographier à grande échelle l’infrastructure de Lumma Stealer grâce à des pivots techniques multi-sources.
🔎 L’étude met en évidence une préférence des acteurs pour des hébergeurs « bulletproof » — notamment Aeza (ASN 210644), Route95 (ASN 8254), Routerhosting et Proton66 — et pour des TLD comme .top, .xyz, .qpon et .ru. En combinant clustering ASN, empreintes SSL et analyse de chaîne d’infection, les chercheurs relient plus de 320 domaines entre eux et observent des empreintes serveur nginx/1.24.0 (Ubuntu).
Méthodologie et pivots clés:
- URLScan pour la recherche par motifs (ex:
*.qpon+ASN:210644). - Analyse Validin révélant plus de 320 domaines sur l’IP 46.28.71.142.
- Pivot sur l’empreinte de certificat SSL (hash:
6b0a08ae253965cb769185f17379c1c06c34b9dbaacb84f8946f8e37ab56a752). - Analyse de la chaîne d’infection via un fichier ZIP (hash:
a727c650d72ec8ea286b1847b5a14f321598c63ae4bd1b0c9b0b85ac50e590d9).
Concentrations d’infrastructure et détection: malgré la rotation de domaines, le regroupement sur des IPs et ASN spécifiques (dont 172.86.89.51, 46.28.71.142, 217.156.66.212) offre des opportunités de détection et de suivi.
IOCs:
- Domaine C2 initial:
nonsazv.qpon - IPs:
172.86.89.51,46.28.71.142,217.156.66.212 - Empreinte certificat SSL:
6b0a08ae253965cb769185f17379c1c06c34b9dbaacb84f8946f8e37ab56a752 - Hash fichier ZIP (chaîne d’infection):
a727c650d72ec8ea286b1847b5a14f321598c63ae4bd1b0c9b0b85ac50e590d9 - Empreinte serveur:
nginx/1.24.0 (Ubuntu)
TTPs observées:
- Clustering par ASN et hébergeurs tolérants (« bulletproof hosting »)
- Pivot sur empreintes SSL réutilisées
- Recherche par motifs de domaines et corrélation via URLScan/Validin
- Rotation de domaines avec TLD variés (.top, .xyz, .qpon, .ru)
Conclusion: Analyse de menace axée sur le renseignement d’infrastructure, décrivant une méthodologie de pivot pour étendre la découverte d’IOCs et cartographier une campagne Lumma Stealer.
🧠 TTPs et IOCs détectés
TTPs
[‘Clustering par ASN et hébergeurs tolérants (« bulletproof hosting »)’, ‘Pivot sur empreintes SSL réutilisées’, ‘Recherche par motifs de domaines et corrélation via URLScan/Validin’, ‘Rotation de domaines avec TLD variés (.top, .xyz, .qpon, .ru)’]
IOCs
{‘domaine’: [’nonsazv.qpon’], ‘ip’: [‘172.86.89.51’, ‘46.28.71.142’, ‘217.156.66.212’], ’empreinte_certificat_ssl’: [‘6b0a08ae253965cb769185f17379c1c06c34b9dbaacb84f8946f8e37ab56a752’], ‘hash_fichier_zip’: [‘a727c650d72ec8ea286b1847b5a14f321598c63ae4bd1b0c9b0b85ac50e590d9’], ’empreinte_serveur’: [’nginx/1.24.0 (Ubuntu)’]}
🔗 Source originale : https://intelinsights.substack.com/p/mapping-latest-lumma-infrastructure