Зловреден софтуер LuaDream

Нововъзникващ заплаха, неизвестен досега и наречен „Sandman“, е идентифициран като извършител зад поредица от кибератаки, които са насочени специално към телекомуникационни доставчици в региони, обхващащи Близкия изток, Западна Европа и южноазиатския субконтинент. Тези кибер прониквания разчитат на използването на компилатор точно навреме (JIT), предназначен за езика за програмиране Lua, известен като LuaJIT. Този компилатор служи като средство за внедряване на новооткрит заплашителен софтуер, наричан „LuaDream“.

Изследователите са отбелязали, че тези наблюдавани дейности са белязани от стратегическо странично движение към конкретни, внимателно подбрани работни станции, с минимално взаимодействие. Това поведение предполага изчислен подход, предназначен за постигане на конкретни цели, като същевременно минимизира риска от откриване. Присъствието на LuaDream допълнително подчертава сложността на тази операция, показвайки, че това е добре изпълнен, активно поддържан и непрекъснато развиван проект със значителен мащаб.

Киберпрестъпниците зад LuaDream са използвали рядък подход

Наличието на низови артефакти в изходния код на импланта сочи значителна времева линия, като препратките датират от 3 юни 2022 г., което предполага, че подготвителната работа за тази операция продължава повече от година.

Процесът на поставяне на LuaDream е щателно изработен, за да избегне откриването и да възпрепятства анализа, което позволява безпроблемното внедряване на зловреден софтуер директно в компютърната памет. Тази техника на етапиране до голяма степен разчита на платформата LuaJIT, която е компилатор точно навреме, предназначен за скриптовия език Lua. Основната цел е да се направи предизвикателство откриването на повреден код на Lua скрипт. Има подозрение, че LuaDream може да принадлежи към нов вид зловреден софтуер, известен като DreamLand.

Използването на базиран на Lua зловреден софтуер е относителна рядкост в пейзажа на заплахите, като от 2012 г. насам са наблюдавани само три документирани случая.

LuaDream е оборудван с мощни възможности за кибершпионаж

Нападателите са наблюдавани да участват в поредица от дейности, включително кражба на административни идентификационни данни и провеждане на разузнаване, за да проникнат в конкретни работни станции, представляващи интерес. Тяхната крайна цел е внедряването на LuaDream.

LuaDream е модулна, многопротоколна задна вратичка, включваща 13 основни компонента и 21 поддържащи компонента. Неговата основна функция е да ексфилтрира както системна, така и потребителска информация, в допълнение към управлението на различни плъгини, предоставени от нападателя, които подобряват неговите възможности, като например изпълнение на команди. Освен това LuaDream включва няколко механизма за отстраняване на грешки, за да избегне откриването и да устои на анализа.

За да установи комуникация Command-and-Control (C2), LuaDream се свързва с домейн с име "mode.encagil.com", използвайки протокола WebSocket. Въпреки това, той също има способността да приема входящи връзки чрез TCP, HTTPS и QUIC протоколи.

Основните модули обхващат всички гореспоменати функционалности. В същото време компонентите за поддръжка играят решаваща роля в разширяването на възможностите на задната вратичка, позволявайки му да слуша за връзки въз основа на API на Windows HTTP сървър и да изпълнява команди, както се изисква.

LuaDream служи като забележителен пример за продължаващия ангажимент и изобретателност, проявени от участниците в заплахите за кибер шпионаж, тъй като те непрекъснато подобряват и усъвършенстват своя арсенал от заплашителни инструменти и техники. Това подчертава динамичния и развиващ се характер на киберзаплахите в съвременния пейзаж, където нападателите последователно се стремят да изпреварят мерките за сигурност и да поддържат тяхната ефективност при проникване и компрометиране на целеви системи.