LuaDream Malware
Un actor emergent d'amenaces, desconegut anteriorment i anomenat "Sandman", ha estat identificat com l'autor d'una sèrie d'atacs cibernètics que s'han dirigit específicament als proveïdors de telecomunicacions de regions que abasten l'Orient Mitjà, Europa occidental i el subcontinent sud-asiàtic. Aquestes intrusions cibernètiques es basen en la utilització d'un compilador just-in-time (JIT) dissenyat per al llenguatge de programació Lua, conegut com LuaJIT. Aquest compilador serveix com a vehicle per desplegar programari amenaçador recentment descobert, anomenat "LuaDream".
Els investigadors han observat que aquestes activitats observades estan marcades per un moviment lateral estratègic cap a estacions de treball particulars, seleccionades amb cura, amb una interacció mínima. Aquest comportament suggereix un enfocament calculat dissenyat per assolir objectius específics alhora que minimitza el risc de detecció. La presència de LuaDream subratlla encara més la sofisticació d'aquesta operació, indicant que es tracta d'un projecte ben executat, mantingut activament i desenvolupat contínuament d'una escala considerable.
Els cibercriminals que hi ha darrere de LuaDream han utilitzat un enfocament rar
La presència d'artefactes de corda dins del codi font de l'implant apunta a una línia de temps important, amb referències que es remunten al 3 de juny de 2022, cosa que suggereix que el treball preparatori per a aquesta operació ha estat en curs durant més d'un any.
El procés de posada en escena de LuaDream s'ha dissenyat meticulosament per evitar la detecció i dificultar l'anàlisi, permetent el desplegament perfecte del programari maliciós directament a la memòria de l'ordinador. Aquesta tècnica de posada en escena es basa en gran mesura en la plataforma LuaJIT, que és un compilador just a temps dissenyat per al llenguatge de scripting Lua. L'objectiu principal és fer que sigui difícil detectar el codi d'script Lua corrupte. Es sospita que LuaDream pot pertànyer a una nova varietat de programari maliciós coneguda com DreamLand.
L'ús de programari maliciós basat en Lua és una relativa raresa en el panorama d'amenaces, amb només tres casos documentats observats des del 2012.
LuaDream està equipat amb potents capacitats de ciberespionatge
S'ha observat que els atacants participen en una sèrie d'activitats, com ara el robatori de credencials administratives i la realització de reconeixements per infiltrar-se en estacions de treball específiques d'interès. El seu objectiu final és desplegar LuaDream.
LuaDream és una porta posterior modular i multiprotocol que inclou 13 components bàsics i 21 components de suport. La seva funció principal és exfiltrar la informació del sistema i de l'usuari, a més de gestionar diversos connectors proporcionats per atacants que milloren les seves capacitats, com ara l'execució d'ordres. A més, LuaDream incorpora diversos mecanismes antidepuració per evadir la detecció i resistir l'anàlisi.
Per establir una comunicació de comandament i control (C2), LuaDream s'adreça a un domini anomenat "mode.encagil.com" mitjançant el protocol WebSocket. Tanmateix, també té la capacitat d'acceptar connexions entrants mitjançant protocols TCP, HTTPS i QUIC.
Els mòduls bàsics inclouen totes les funcionalitats esmentades anteriorment. Al mateix temps, els components de suport tenen un paper crucial a l'hora d'ampliar les capacitats de la porta posterior, permetent-li escoltar connexions basades en l'API del servidor HTTP de Windows i executar ordres segons sigui necessari.
LuaDream és un exemple destacable del compromís i l'enginy constants que mostren els actors d'amenaces de ciberespionatge mentre milloren i perfeccionen contínuament el seu arsenal d'eines i tècniques amenaçadores. Això posa de manifest la naturalesa dinàmica i en evolució de les amenaces cibernètiques en el panorama modern, on els atacants s'esforcen constantment per mantenir-se per davant de les mesures de seguretat i mantenir la seva eficàcia a l'hora d'infiltrar-se i comprometre els sistemes objectiu.
