Zlonamjerni softver LuaDream

Glumac prijetnje u nastajanju, prethodno nepoznat i nazvan 'Sandman', identificiran je kao počinitelj iza niza kibernetičkih napada koji su ciljano ciljali pružatelje telekomunikacijskih usluga u regijama koje obuhvaćaju Bliski istok, zapadnu Europu i južnoazijski potkontinent. Ovi cyber upadi oslanjaju se na korištenje pravovremenog (JIT) prevoditelja dizajniranog za programski jezik Lua, poznatog kao LuaJIT. Ovaj kompajler služi kao sredstvo za uvođenje novootkrivenog prijetećeg softvera, koji se naziva "LuaDream".

Istraživači su primijetili da su ove promatrane aktivnosti obilježene strateškim bočnim kretanjem prema određenim, pažljivo odabranim radnim stanicama, s minimalnom interakcijom. Ovo ponašanje sugerira proračunat pristup osmišljen za postizanje specifičnih ciljeva uz smanjenje rizika od otkrivanja. Prisutnost LuaDreama dodatno naglašava sofisticiranost ove operacije, ukazujući da se radi o dobro izvedenom, aktivno održavanom i kontinuirano razvijanom projektu značajnih razmjera.

Kibernetički kriminalci koji stoje iza LuaDreama upotrijebili su rijedak pristup

Prisutnost artefakata niza unutar izvornog koda implantata ukazuje na značajan vremenski okvir, s referencama koje datiraju od 3. lipnja 2022., što sugerira da pripremni rad za ovu operaciju traje više od godinu dana.

LuaDream inscenacijski proces pomno je izrađen kako bi izbjegao otkrivanje i spriječio analizu, omogućujući besprijekornu implementaciju zlonamjernog softvera izravno u memoriju računala. Ova tehnika postavljanja uvelike se oslanja na platformu LuaJIT, koja je pravovremeni prevodilac dizajniran za skriptni jezik Lua. Primarni cilj je otežati otkrivanje oštećenog koda Lua skripte. Postoji sumnja da bi LuaDream mogao pripadati novom soju malwarea poznatom kao DreamLand.

Korištenje zlonamjernog softvera temeljenog na Lua relativna je rijetkost u prijetnjama, sa samo tri dokumentirana slučaja uočena od 2012.

LuaDream je opremljen moćnim mogućnostima kibernetičke špijunaže

Napadači su primijećeni kako sudjeluju u nizu aktivnosti, uključujući krađu administrativnih vjerodajnica i provođenje izviđanja kako bi se infiltrirali u određene radne stanice od interesa. Njihov krajnji cilj je implementacija LuaDreama.

LuaDream je modularni backdoor s više protokola koji se sastoji od 13 osnovnih komponenti i 21 komponente za podršku. Njegova primarna funkcija je eksfiltracija i sistemskih i korisničkih informacija, uz upravljanje raznim dodacima koje osiguravaju napadači koji poboljšavaju njegove mogućnosti, kao što je izvršavanje naredbi. Nadalje, LuaDream uključuje nekoliko mehanizama za uklanjanje pogrešaka kako bi se izbjeglo otkrivanje i oduprijelo analizi.

Kako bi uspostavio Command-and-Control (C2) komunikaciju, LuaDream dopire do domene pod nazivom "mode.encagil.com" koristeći WebSocket protokol. Međutim, također ima mogućnost prihvaćanja dolaznih veza putem TCP, HTTPS i QUIC protokola.

Temeljni moduli obuhvaćaju sve gore navedene funkcionalnosti. U isto vrijeme, komponente podrške igraju ključnu ulogu u proširenju mogućnosti backdoor-a, dopuštajući mu da osluškuje veze temeljene na API-ju Windows HTTP poslužitelja i izvršava naredbe prema potrebi.

LuaDream služi kao značajan primjer stalne predanosti i domišljatosti koju pokazuju akteri prijetnji cyber špijunaže dok neprestano poboljšavaju i usavršavaju svoj arsenal prijetećih alata i tehnika. Ovo naglašava dinamičnu i evoluirajuću prirodu cyber prijetnji u modernom krajoliku, gdje napadači dosljedno nastoje biti ispred sigurnosnih mjera i održati njihovu učinkovitost u infiltraciji i kompromitiranju ciljnih sustava.