Malware LuaDream

Un attore di minacce emergente, precedentemente sconosciuto e chiamato "Sandman", è stato identificato come l'autore di una serie di attacchi informatici che hanno preso di mira specificamente i fornitori di telecomunicazioni in regioni che abbracciano il Medio Oriente, l'Europa occidentale e il subcontinente dell'Asia meridionale. Queste intrusioni informatiche si basano sull'utilizzo di un compilatore just-in-time (JIT) progettato per il linguaggio di programmazione Lua, noto come LuaJIT. Questo compilatore funge da veicolo per la distribuzione del software minaccioso appena scoperto, denominato "LuaDream".

I ricercatori hanno notato che queste attività osservate sono caratterizzate da movimenti laterali strategici verso postazioni di lavoro particolari, accuratamente selezionate, con un’interazione minima. Questo comportamento suggerisce un approccio calcolato progettato per raggiungere obiettivi specifici riducendo al minimo il rischio di rilevamento. La presenza di LuaDream sottolinea ulteriormente la sofisticatezza di questa operazione, indicando che si tratta di un progetto di notevole portata ben eseguito, mantenuto attivamente e continuamente sviluppato.

I criminali informatici dietro LuaDream hanno utilizzato un approccio raro

La presenza di artefatti di stringa all'interno del codice sorgente dell'impianto indica una cronologia significativa, con riferimenti risalenti al 3 giugno 2022, suggerendo che il lavoro preparatorio per questa operazione è in corso da oltre un anno.

Il processo di staging di LuaDream è stato meticolosamente realizzato per eludere il rilevamento e ostacolare l'analisi, consentendo la distribuzione senza interruzioni del malware direttamente nella memoria del computer. Questa tecnica di gestione temporanea fa molto affidamento sulla piattaforma LuaJIT, che è un compilatore just-in-time progettato per il linguaggio di scripting Lua. L'obiettivo principale è rendere difficile il rilevamento del codice dello script Lua danneggiato. C'è il sospetto che LuaDream possa appartenere a un nuovo ceppo di malware noto come DreamLand.

L’uso di malware basato su Lua è una relativa rarità nel panorama delle minacce, con solo tre casi documentati osservati dal 2012.

LuaDream è dotato di potenti funzionalità di spionaggio informatico

Gli aggressori sono stati osservati impegnati in una serie di attività, tra cui il furto di credenziali amministrative e la conduzione di ricognizioni per infiltrarsi in specifiche workstation di interesse. Il loro obiettivo finale è implementare LuaDream.

LuaDream è una backdoor modulare e multiprotocollo composta da 13 componenti principali e 21 componenti di supporto. La sua funzione principale è quella di esfiltrare informazioni sia sul sistema che sull'utente, oltre a gestire vari plugin forniti dagli aggressori che ne migliorano le capacità, come l'esecuzione dei comandi. Inoltre, LuaDream incorpora diversi meccanismi anti-debug per eludere il rilevamento e resistere all'analisi.

Per stabilire una comunicazione di comando e controllo (C2), LuaDream raggiunge un dominio denominato "mode.encagil.com" utilizzando il protocollo WebSocket. Tuttavia, ha anche la capacità di accettare connessioni in entrata tramite i protocolli TCP, HTTPS e QUIC.

I moduli principali comprendono tutte le funzionalità sopra menzionate. Allo stesso tempo, i componenti di supporto svolgono un ruolo cruciale nell'espansione delle capacità della backdoor, consentendole di ascoltare connessioni basate sull'API del server HTTP di Windows ed eseguire comandi come richiesto.

LuaDream costituisce un esempio degno di nota dell'impegno costante e dell'ingegnosità mostrati dagli autori delle minacce di spionaggio informatico mentre migliorano e perfezionano continuamente il loro arsenale di strumenti e tecniche minacciose. Ciò evidenzia la natura dinamica e in evoluzione delle minacce informatiche nel panorama moderno, in cui gli aggressori si sforzano costantemente di stare al passo con le misure di sicurezza e mantenere la loro efficacia nell’infiltrarsi e compromettere i sistemi target.