Malware LuaDream

Nově vznikající hrozba, dříve neznámá a pojmenovaná „Sandman“, byla identifikována jako pachatel série kybernetických útoků, které se konkrétně zaměřovaly na poskytovatele telekomunikačních služeb v regionech zahrnujících Blízký východ, západní Evropu a jihoasijský subkontinent. Tyto kybernetické útoky se spoléhají na využití kompilátoru just-in-time (JIT) navrženého pro programovací jazyk Lua, známý jako LuaJIT. Tento kompilátor slouží jako prostředek pro nasazení nově objeveného ohrožujícího softwaru, označovaného jako „LuaDream“.

Výzkumníci zaznamenali, že tyto pozorované aktivity se vyznačují strategickým bočním pohybem směrem ke konkrétním, pečlivě vybraným pracovním stanicím s minimální interakcí. Toto chování naznačuje vypočítaný přístup navržený k dosažení konkrétních cílů při minimalizaci rizika odhalení. Přítomnost LuaDream dále podtrhuje sofistikovanost této operace, což naznačuje, že jde o dobře prováděný, aktivně udržovaný a neustále rozvíjený projekt značného rozsahu.

Kyberzločinci za LuaDreamem použili vzácný přístup

Přítomnost řetězcových artefaktů ve zdrojovém kódu implantátu poukazuje na významnou časovou osu s odkazy pocházejícími z 3. června 2022, což naznačuje, že přípravné práce na tuto operaci probíhají již více než rok.

Proces stagingu LuaDream byl pečlivě vytvořen tak, aby se vyhnul detekci a bránil analýze, což umožňuje bezproblémové nasazení malwaru přímo do paměti počítače. Tato technika stagingu silně spoléhá na platformu LuaJIT, což je kompilátor just-in-time navržený pro skriptovací jazyk Lua. Primárním cílem je ztížit detekci poškozeného kódu skriptu Lua. Existuje podezření, že LuaDream může patřit k novému kmeni malwaru známému jako DreamLand.

Použití malwaru založeného na Lua je v oblasti hrozeb relativní raritou, od roku 2012 byly pozorovány pouze tři zdokumentované případy.

LuaDream je vybaven silnými schopnostmi kybernetické špionáže

Útočníci byli pozorováni při řadě činností, včetně krádeže administrativních pověření a provádění průzkumu za účelem infiltrace konkrétních zájmových pracovních stanic. Jejich konečným cílem je nasadit LuaDream.

LuaDream je modulární, multiprotokolový backdoor obsahující 13 základních komponent a 21 podpůrných komponent. Jeho primární funkcí je kromě správy různých zásuvných modulů poskytnutých útočníkem, které rozšiřují jeho možnosti, jako je například provádění příkazů, exfiltrovat systémové i uživatelské informace. Kromě toho LuaDream obsahuje několik mechanismů proti ladění, aby se zabránilo detekci a analýze odolnosti.

Pro navázání komunikace Command-and-Control (C2) osloví LuaDream doménu s názvem „mode.encagil.com“ pomocí protokolu WebSocket. Má však také schopnost přijímat příchozí připojení prostřednictvím protokolů TCP, HTTPS a QUIC.

Základní moduly zahrnují všechny výše uvedené funkce. Komponenty podpory zároveň hrají klíčovou roli při rozšiřování možností zadních vrátek, které umožňují naslouchat připojením založeným na API serveru Windows HTTP a provádět příkazy podle potřeby.

LuaDream slouží jako pozoruhodný příklad trvalého nasazení a vynalézavosti, kterou projevují aktéři kybernetické špionáže, když neustále vylepšují a zdokonalují svůj arzenál hrozivých nástrojů a technik. To zdůrazňuje dynamickou a vyvíjející se povahu kybernetických hrozeb v moderním prostředí, kde se útočníci soustavně snaží udržet náskok před bezpečnostními opatřeními a udržet si svou efektivitu při infiltraci a kompromitování cílových systémů.