البرامج الضارة LuaDream

تم التعرف على ممثل تهديد ناشئ، لم يكن معروفًا سابقًا ويسمى "Sandman"، باعتباره مرتكب سلسلة من الهجمات الإلكترونية التي استهدفت على وجه التحديد مقدمي خدمات الاتصالات في مناطق تمتد عبر الشرق الأوسط وأوروبا الغربية وشبه قارة جنوب آسيا. تعتمد عمليات الاقتحام السيبرانية هذه على استخدام مترجم في الوقت المناسب (JIT) مصمم للغة برمجة Lua، المعروفة باسم LuaJIT. يعمل هذا المترجم بمثابة وسيلة لنشر برامج التهديد المكتشفة حديثًا، والمشار إليها باسم "LuaDream".

وقد لاحظ الباحثون أن هذه الأنشطة التي تمت ملاحظتها تتميز بحركة جانبية استراتيجية نحو محطات عمل معينة مختارة بعناية، مع الحد الأدنى من التفاعل. يشير هذا السلوك إلى نهج محسوب مصمم لتحقيق أهداف محددة مع تقليل مخاطر الاكتشاف. ويؤكد وجود LuaDream أيضًا على مدى تعقيد هذه العملية، مما يشير إلى أنها مشروع يتم تنفيذه بشكل جيد، ويتم صيانته بشكل نشط، ويتم تطويره باستمرار على نطاق واسع.

لقد استخدم مجرمو الإنترنت الذين يقفون وراء LuaDream أسلوبًا نادرًا

يشير وجود سلسلة من القطع الأثرية داخل الكود المصدري للزرعة إلى جدول زمني مهم، مع مراجع يعود تاريخها إلى 3 يونيو 2022، مما يشير إلى أن العمل التحضيري لهذه العملية مستمر منذ أكثر من عام.

وقد تم تصميم عملية LuaDream المرحلية بدقة لتجنب الكشف وإعاقة التحليل، مما يتيح النشر السلس للبرامج الضارة مباشرة في ذاكرة الكمبيوتر. تعتمد تقنية التدريج هذه بشكل كبير على منصة LuaJIT، وهي عبارة عن مترجم فوري مصمم للغة البرمجة النصية Lua. الهدف الأساسي هو جعل اكتشاف رمز Lua النصي التالف أمرًا صعبًا. هناك شك في أن LuaDream قد ينتمي إلى سلالة جديدة من البرامج الضارة المعروفة باسم DreamLand.

يعد استخدام البرامج الضارة المستندة إلى Lua أمرًا نادرًا نسبيًا في مشهد التهديدات، مع ملاحظة ثلاث حالات موثقة فقط منذ عام 2012.

تم تجهيز LuaDream بقدرات قوية للتجسس عبر الإنترنت

وقد لوحظ أن المهاجمين يشاركون في سلسلة من الأنشطة، بما في ذلك سرقة أوراق الاعتماد الإدارية وإجراء الاستطلاع للتسلل إلى محطات عمل محددة ذات أهمية. هدفهم النهائي هو نشر LuaDream.

LuaDream عبارة عن باب خلفي معياري متعدد البروتوكولات يشتمل على 13 مكونًا أساسيًا و21 مكونًا للدعم. وتتمثل وظيفتها الأساسية في استخراج معلومات النظام والمستخدم، بالإضافة إلى إدارة المكونات الإضافية المتنوعة التي يوفرها المهاجم والتي تعمل على تحسين قدراته، مثل تنفيذ الأوامر. علاوة على ذلك، يشتمل LuaDream على العديد من آليات مكافحة تصحيح الأخطاء لتجنب الكشف ومقاومة التحليل.

لإنشاء اتصال الأوامر والتحكم (C2)، يتصل LuaDream بمجال يسمى "mode.encagil.com" باستخدام بروتوكول WebSocket. ومع ذلك، فهو يتمتع أيضًا بالقدرة على قبول الاتصالات الواردة من خلال بروتوكولات TCP وHTTPS وQUIC.

تشمل الوحدات الأساسية جميع الوظائف المذكورة أعلاه. وفي الوقت نفسه، تلعب مكونات الدعم دورًا حاسمًا في توسيع قدرات الباب الخلفي، مما يسمح له بالاستماع إلى الاتصالات المستندة إلى Windows HTTP server API وتنفيذ الأوامر كما هو مطلوب.

يُعد LuaDream مثالًا جديرًا بالملاحظة على الالتزام المستمر والبراعة التي تظهرها الجهات الفاعلة في تهديد التجسس عبر الإنترنت حيث تعمل باستمرار على تعزيز وتحسين ترسانتها من أدوات وتقنيات التهديد. وهذا يسلط الضوء على الطبيعة الديناميكية والمتطورة للتهديدات السيبرانية في المشهد الحديث، حيث يسعى المهاجمون باستمرار إلى استباق التدابير الأمنية والحفاظ على فعاليتهم في اختراق الأنظمة المستهدفة والإضرار بها.