بدافزار LuaDream

یک عامل تهدید نوظهور، که قبلاً ناشناخته بود و "Sandman" نام داشت، به عنوان عامل پشت سری حملات سایبری که به طور خاص ارائه دهندگان مخابرات را در مناطقی از خاورمیانه، اروپای غربی و شبه قاره آسیای جنوبی هدف قرار داده است، شناسایی شده است. این نفوذهای سایبری متکی به استفاده از یک کامپایلر به موقع (JIT) طراحی شده برای زبان برنامه نویسی Lua، معروف به LuaJIT است. این کامپایلر به عنوان وسیله‌ای برای استقرار نرم‌افزار تهدیدکننده تازه کشف‌شده، به نام «LuaDream» عمل می‌کند.

محققان خاطرنشان کرده‌اند که این فعالیت‌های مشاهده‌شده با حرکت جانبی استراتژیک به سمت ایستگاه‌های کاری خاص و با دقت انتخاب شده، با حداقل تعامل مشخص می‌شوند. این رفتار یک رویکرد محاسبه شده را پیشنهاد می کند که برای دستیابی به اهداف خاص و در عین حال به حداقل رساندن خطر تشخیص طراحی شده است. حضور LuaDream بیشتر بر پیچیدگی این عملیات تأکید می‌کند و نشان می‌دهد که این پروژه به خوبی اجرا شده، فعالانه نگهداری می‌شود و به طور مداوم توسعه یافته و در مقیاس قابل‌توجهی است.

مجرمان سایبری پشت LuaDream از یک رویکرد نادر استفاده کرده اند

وجود مصنوعات رشته ای در کد منبع ایمپلنت به یک جدول زمانی قابل توجه اشاره می کند، با ارجاعات به 3 ژوئن 2022، که نشان می دهد کار مقدماتی برای این عمل بیش از یک سال است که ادامه دارد.

فرآیند مرحله‌بندی LuaDream با دقت ساخته شده است تا از شناسایی و تجزیه و تحلیل جلوگیری کند و امکان استقرار یکپارچه بدافزار را مستقیماً در حافظه رایانه فراهم کند. این تکنیک مرحله‌بندی به شدت به پلتفرم LuaJIT متکی است، که یک کامپایلر به‌موقع است که برای زبان برنامه‌نویسی Lua طراحی شده است. هدف اصلی این است که شناسایی کد اسکریپت خراب Lua را به چالش بکشد. این ظن وجود دارد که LuaDream ممکن است به نوع جدیدی از بدافزار معروف به DreamLand تعلق داشته باشد.

استفاده از بدافزار مبتنی بر Lua در چشم انداز تهدید نادر است و تنها سه مورد مستند از سال 2012 مشاهده شده است.

LuaDream به قابلیت های قدرتمند جاسوسی سایبری مجهز شده است

مشاهده شده است که مهاجمان در یک سری فعالیت‌ها، از جمله سرقت مدارک اداری و انجام عملیات شناسایی برای نفوذ به ایستگاه‌های کاری خاص مورد علاقه، شرکت می‌کنند. هدف نهایی آنها استقرار LuaDream است.

LuaDream یک درب پشتی ماژولار و چند پروتکلی است که از 13 جزء اصلی و 21 جزء پشتیبانی تشکیل شده است. عملکرد اصلی آن استخراج اطلاعات سیستم و کاربر، علاوه بر مدیریت پلاگین های مختلف ارائه شده توسط مهاجم است که قابلیت های آن را افزایش می دهد، مانند اجرای دستور. علاوه بر این، LuaDream چندین مکانیسم ضد اشکال‌زدایی را برای فرار از تشخیص و مقاومت در برابر تجزیه و تحلیل ترکیب می‌کند.

برای برقراری ارتباط Command-and-Control (C2)، LuaDream با استفاده از پروتکل WebSocket به دامنه ای به نام "mode.encagil.com" دسترسی پیدا می کند. با این حال، توانایی پذیرش اتصالات ورودی از طریق پروتکل های TCP، HTTPS و QUIC را نیز دارد.

ماژول های اصلی تمام قابلیت های فوق الذکر را در بر می گیرند. در عین حال، اجزای پشتیبانی نقش مهمی در گسترش قابلیت‌های درب پشتی دارند و به آن اجازه می‌دهند به اتصالات مبتنی بر API سرور HTTP ویندوز گوش داده و دستورات را در صورت نیاز اجرا کنند.

LuaDream به عنوان یک نمونه قابل توجه از تعهد و نبوغ مداومی است که توسط عوامل تهدید جاسوسی سایبری نشان داده شده است، زیرا آنها به طور مداوم زرادخانه ابزارها و تکنیک های تهدیدآمیز خود را تقویت و اصلاح می کنند. این امر ماهیت پویا و در حال تحول تهدیدات سایبری را در چشم‌انداز مدرن نشان می‌دهد، جایی که مهاجمان به طور مداوم تلاش می‌کنند تا از اقدامات امنیتی جلوتر باشند و اثربخشی خود را در نفوذ و به خطر انداختن سیستم‌های هدف حفظ کنند.