بدافزار LuaDream
یک عامل تهدید نوظهور، که قبلاً ناشناخته بود و "Sandman" نام داشت، به عنوان عامل پشت سری حملات سایبری که به طور خاص ارائه دهندگان مخابرات را در مناطقی از خاورمیانه، اروپای غربی و شبه قاره آسیای جنوبی هدف قرار داده است، شناسایی شده است. این نفوذهای سایبری متکی به استفاده از یک کامپایلر به موقع (JIT) طراحی شده برای زبان برنامه نویسی Lua، معروف به LuaJIT است. این کامپایلر به عنوان وسیلهای برای استقرار نرمافزار تهدیدکننده تازه کشفشده، به نام «LuaDream» عمل میکند.
محققان خاطرنشان کردهاند که این فعالیتهای مشاهدهشده با حرکت جانبی استراتژیک به سمت ایستگاههای کاری خاص و با دقت انتخاب شده، با حداقل تعامل مشخص میشوند. این رفتار یک رویکرد محاسبه شده را پیشنهاد می کند که برای دستیابی به اهداف خاص و در عین حال به حداقل رساندن خطر تشخیص طراحی شده است. حضور LuaDream بیشتر بر پیچیدگی این عملیات تأکید میکند و نشان میدهد که این پروژه به خوبی اجرا شده، فعالانه نگهداری میشود و به طور مداوم توسعه یافته و در مقیاس قابلتوجهی است.
مجرمان سایبری پشت LuaDream از یک رویکرد نادر استفاده کرده اند
وجود مصنوعات رشته ای در کد منبع ایمپلنت به یک جدول زمانی قابل توجه اشاره می کند، با ارجاعات به 3 ژوئن 2022، که نشان می دهد کار مقدماتی برای این عمل بیش از یک سال است که ادامه دارد.
فرآیند مرحلهبندی LuaDream با دقت ساخته شده است تا از شناسایی و تجزیه و تحلیل جلوگیری کند و امکان استقرار یکپارچه بدافزار را مستقیماً در حافظه رایانه فراهم کند. این تکنیک مرحلهبندی به شدت به پلتفرم LuaJIT متکی است، که یک کامپایلر بهموقع است که برای زبان برنامهنویسی Lua طراحی شده است. هدف اصلی این است که شناسایی کد اسکریپت خراب Lua را به چالش بکشد. این ظن وجود دارد که LuaDream ممکن است به نوع جدیدی از بدافزار معروف به DreamLand تعلق داشته باشد.
استفاده از بدافزار مبتنی بر Lua در چشم انداز تهدید نادر است و تنها سه مورد مستند از سال 2012 مشاهده شده است.
LuaDream به قابلیت های قدرتمند جاسوسی سایبری مجهز شده است
مشاهده شده است که مهاجمان در یک سری فعالیتها، از جمله سرقت مدارک اداری و انجام عملیات شناسایی برای نفوذ به ایستگاههای کاری خاص مورد علاقه، شرکت میکنند. هدف نهایی آنها استقرار LuaDream است.
LuaDream یک درب پشتی ماژولار و چند پروتکلی است که از 13 جزء اصلی و 21 جزء پشتیبانی تشکیل شده است. عملکرد اصلی آن استخراج اطلاعات سیستم و کاربر، علاوه بر مدیریت پلاگین های مختلف ارائه شده توسط مهاجم است که قابلیت های آن را افزایش می دهد، مانند اجرای دستور. علاوه بر این، LuaDream چندین مکانیسم ضد اشکالزدایی را برای فرار از تشخیص و مقاومت در برابر تجزیه و تحلیل ترکیب میکند.
برای برقراری ارتباط Command-and-Control (C2)، LuaDream با استفاده از پروتکل WebSocket به دامنه ای به نام "mode.encagil.com" دسترسی پیدا می کند. با این حال، توانایی پذیرش اتصالات ورودی از طریق پروتکل های TCP، HTTPS و QUIC را نیز دارد.
ماژول های اصلی تمام قابلیت های فوق الذکر را در بر می گیرند. در عین حال، اجزای پشتیبانی نقش مهمی در گسترش قابلیتهای درب پشتی دارند و به آن اجازه میدهند به اتصالات مبتنی بر API سرور HTTP ویندوز گوش داده و دستورات را در صورت نیاز اجرا کنند.
LuaDream به عنوان یک نمونه قابل توجه از تعهد و نبوغ مداومی است که توسط عوامل تهدید جاسوسی سایبری نشان داده شده است، زیرا آنها به طور مداوم زرادخانه ابزارها و تکنیک های تهدیدآمیز خود را تقویت و اصلاح می کنند. این امر ماهیت پویا و در حال تحول تهدیدات سایبری را در چشمانداز مدرن نشان میدهد، جایی که مهاجمان به طور مداوم تلاش میکنند تا از اقدامات امنیتی جلوتر باشند و اثربخشی خود را در نفوذ و به خطر انداختن سیستمهای هدف حفظ کنند.