LuaDream मैलवेयर

एक उभरता हुआ खतरा अभिनेता, जो पहले अज्ञात था और जिसका नाम 'सैंडमैन' था, की पहचान साइबर हमलों की एक श्रृंखला के पीछे अपराधी के रूप में की गई है, जिन्होंने विशेष रूप से मध्य पूर्व, पश्चिमी यूरोप और दक्षिण एशियाई उपमहाद्वीप में फैले क्षेत्रों में दूरसंचार प्रदाताओं को लक्षित किया है। ये साइबर घुसपैठें लुआ प्रोग्रामिंग भाषा के लिए डिज़ाइन किए गए जस्ट-इन-टाइम (जेआईटी) कंपाइलर के उपयोग पर निर्भर करती हैं, जिसे लुआजेआईटी के नाम से जाना जाता है। यह कंपाइलर नए खोजे गए खतरनाक सॉफ़्टवेयर को तैनात करने के लिए वाहन के रूप में कार्य करता है, जिसे 'लुआड्रीम' कहा जाता है।

शोधकर्ताओं ने नोट किया है कि इन देखी गई गतिविधियों को न्यूनतम बातचीत के साथ विशेष, सावधानीपूर्वक चयनित कार्यस्थानों की ओर रणनीतिक पार्श्व आंदोलन द्वारा चिह्नित किया जाता है। यह व्यवहार पहचान के जोखिम को कम करते हुए विशिष्ट उद्देश्यों को प्राप्त करने के लिए डिज़ाइन किए गए परिकलित दृष्टिकोण का सुझाव देता है। लुआड्रीम की उपस्थिति इस ऑपरेशन की परिष्कार को और अधिक रेखांकित करती है, यह दर्शाती है कि यह एक अच्छी तरह से निष्पादित, सक्रिय रूप से बनाए रखा और काफी पैमाने की लगातार विकसित परियोजना है।

LuaDream के पीछे साइबर अपराधियों ने एक दुर्लभ दृष्टिकोण का उपयोग किया है

इम्प्लांट के स्रोत कोड के भीतर स्ट्रिंग कलाकृतियों की उपस्थिति एक महत्वपूर्ण समयरेखा की ओर इशारा करती है, जिसमें 3 जून, 2022 तक के संदर्भ हैं, जो सुझाव देते हैं कि इस ऑपरेशन के लिए तैयारी का काम एक साल से अधिक समय से चल रहा है।

LuaDream स्टेजिंग प्रक्रिया को पता लगाने और विश्लेषण में बाधा डालने से बचने के लिए सावधानीपूर्वक तैयार किया गया है, जिससे मैलवेयर को सीधे कंप्यूटर मेमोरी में निर्बाध रूप से तैनात किया जा सके। यह स्टेजिंग तकनीक काफी हद तक LuaJIT प्लेटफ़ॉर्म पर निर्भर करती है, जो Lua स्क्रिप्टिंग भाषा के लिए डिज़ाइन किया गया एक जस्ट-इन-टाइम कंपाइलर है। प्राथमिक उद्देश्य दूषित लुआ स्क्रिप्ट कोड का पता लगाना चुनौतीपूर्ण बनाना है। ऐसा संदेह है कि लुआड्रीम मैलवेयर के एक नए प्रकार से संबंधित हो सकता है जिसे ड्रीमलैंड के नाम से जाना जाता है।

लूआ-आधारित मैलवेयर का उपयोग खतरे के परिदृश्य में एक सापेक्ष दुर्लभता है, 2012 के बाद से केवल तीन प्रलेखित उदाहरण देखे गए हैं।

LuaDream शक्तिशाली साइबर जासूसी क्षमताओं से सुसज्जित है

हमलावरों को कई गतिविधियों में संलग्न देखा गया है, जिसमें प्रशासनिक साख की चोरी और रुचि के विशिष्ट कार्यस्थानों में घुसपैठ करने के लिए टोही का संचालन करना शामिल है। उनका अंतिम लक्ष्य लुआड्रीम को तैनात करना है।

LuaDream एक मॉड्यूलर, मल्टी-प्रोटोकॉल बैकडोर है जिसमें 13 मुख्य घटक और 21 सहायक घटक शामिल हैं। इसका प्राथमिक कार्य सिस्टम और उपयोगकर्ता जानकारी दोनों को बाहर निकालना है, साथ ही विभिन्न हमलावर-प्रदत्त प्लगइन्स को प्रबंधित करना है जो इसकी क्षमताओं को बढ़ाते हैं, जैसे कमांड निष्पादन। इसके अलावा, LuaDream में पहचान से बचने और विश्लेषण का विरोध करने के लिए कई एंटी-डिबगिंग तंत्र शामिल हैं।

कमांड-एंड-कंट्रोल (C2) संचार स्थापित करने के लिए, LuaDream WebSocket प्रोटोकॉल का उपयोग करके "mode.encagil.com" नामक डोमेन तक पहुंचता है। हालाँकि, इसमें TCP, HTTPS और QUIC प्रोटोकॉल के माध्यम से आने वाले कनेक्शन को स्वीकार करने की क्षमता भी है।

कोर मॉड्यूल में उपरोक्त सभी कार्यात्मकताएं शामिल हैं। साथ ही, समर्थन घटक पिछले दरवाजे की क्षमताओं का विस्तार करने में महत्वपूर्ण भूमिका निभाते हैं, जिससे यह विंडोज HTTP सर्वर एपीआई के आधार पर कनेक्शन सुनने और आवश्यकतानुसार कमांड निष्पादित करने की अनुमति देता है।

LuaDream साइबर जासूसी खतरा अभिनेताओं द्वारा प्रदर्शित चल रही प्रतिबद्धता और सरलता का एक उल्लेखनीय उदाहरण के रूप में कार्य करता है क्योंकि वे धमकी देने वाले उपकरणों और तकनीकों के अपने शस्त्रागार को लगातार बढ़ाते और परिष्कृत करते हैं। यह आधुनिक परिदृश्य में साइबर खतरों की गतिशील और विकसित प्रकृति पर प्रकाश डालता है, जहां हमलावर लगातार सुरक्षा उपायों से आगे रहने और लक्ष्य प्रणालियों में घुसपैठ और समझौता करने में अपनी प्रभावशीलता बनाए रखने का प्रयास करते हैं।