LuaDream Malware

Egy korábban ismeretlen, „Sandman” nevű feltörekvő fenyegetést azonosítottak a kibertámadások elkövetőjeként, amelyek kifejezetten a Közel-Kelet, Nyugat-Európa és a dél-ázsiai szubkontinens távközlési szolgáltatóit célozták meg. Ezek a kiberbehatolások a Lua programozási nyelvhez tervezett Just-in-time (JIT) fordító, a LuaJIT használatán alapulnak. Ez a fordító eszközként szolgál az újonnan felfedezett fenyegető szoftver, a „LuaDream” telepítéséhez.

A kutatók megállapították, hogy ezeket a megfigyelt tevékenységeket stratégiai oldalirányú mozgás jellemzi bizonyos, gondosan kiválasztott munkaállomások felé, minimális interakcióval. Ez a viselkedés kiszámított megközelítést sugall, amelyet úgy terveztek, hogy elérje a konkrét célokat, miközben minimalizálja az észlelés kockázatát. A LuaDream jelenléte tovább hangsúlyozza ennek a műveletnek a kifinomultságát, jelezve, hogy ez egy jól végrehajtott, aktívan karbantartott és folyamatosan fejlesztett, jelentős léptékű projekt.

A LuaDream mögött álló kiberbűnözők ritka megközelítést alkalmaztak

A string műtermékek jelenléte az implantátum forráskódjában jelentős idővonalra utal, a hivatkozások 2022. június 3-ig nyúlnak vissza, ami arra utal, hogy a művelet előkészítése több mint egy éve folyik.

A LuaDream staging folyamatát aprólékosan úgy alakították ki, hogy elkerülje az észlelést és akadályozza az elemzést, lehetővé téve a kártevő zökkenőmentes telepítését közvetlenül a számítógép memóriájába. Ez az állomásozási technika nagymértékben támaszkodik a LuaJIT platformra, amely egy, a Lua szkriptnyelvhez tervezett just-in-time fordító. Az elsődleges cél az, hogy megnehezítse a sérült Lua szkriptkód észlelését. Fennáll a gyanú, hogy a LuaDream a DreamLand néven ismert rosszindulatú programok új törzséhez tartozhat.

A Lua-alapú rosszindulatú programok használata viszonylag ritkaságnak számít a fenyegetési környezetben, 2012 óta mindössze három dokumentált esetet figyeltek meg.

A LuaDream hatékony kiberkémkedési képességekkel van felszerelve

Megfigyelték, hogy a támadók egy sor tevékenységben vesznek részt, beleértve az adminisztrációs okmányok ellopását és a felderítést, hogy behatoljanak bizonyos érdeklődésre számot tartó munkaállomásokra. Végső céljuk a LuaDream telepítése.

A LuaDream egy moduláris, többprotokollú hátsó ajtó, amely 13 alapkomponensből és 21 támogató komponensből áll. Elsődleges funkciója a rendszer- és a felhasználói információk kiszűrése, a különféle támadók által biztosított bővítmények kezelése mellett, amelyek javítják a képességeit, például a parancsvégrehajtást. Ezenkívül a LuaDream számos hibaelhárítási mechanizmust tartalmaz az észlelés elkerülésére és az elemzés ellen.

A Command-and-Control (C2) kommunikáció létrehozásához a LuaDream a WebSocket protokoll használatával eléri a „mode.encagil.com” nevű tartományt. Ugyanakkor képes fogadni a bejövő kapcsolatokat TCP, HTTPS és QUIC protokollokon keresztül.

Az alapmodulok az összes fent említett funkciót magukban foglalják. A támogató komponensek ugyanakkor döntő szerepet játszanak a hátsó ajtó képességeinek bővítésében, lehetővé téve a Windows HTTP szerver API-n alapuló kapcsolatok figyelését és a parancsok végrehajtását.

A LuaDream figyelemre méltó példája a kiberkémkedéssel fenyegető szereplők folyamatos elkötelezettségének és találékonyságának, miközben folyamatosan fejlesztik és finomítják fenyegető eszközök és technikák arzenálját. Ez rávilágít a kiberfenyegetések dinamikus és fejlődő természetére a modern környezetben, ahol a támadók következetesen igyekeznek megelőzni a biztonsági intézkedéseket, és megőrizni hatékonyságukat a célrendszerekbe való behatolás és kompromittálás terén.