មេរោគ LuaDream

តួអង្គគម្រាមកំហែងដែលកំពុងលេចធ្លោ ដែលពីមុនមិនស្គាល់ និងមានឈ្មោះថា 'Sandman' ត្រូវបានគេកំណត់អត្តសញ្ញាណថាជាជនល្មើសនៅពីក្រោយការវាយប្រហារតាមអ៊ីនធឺណិតជាបន្តបន្ទាប់ ដែលបានកំណត់គោលដៅជាពិសេសទៅលើអ្នកផ្តល់សេវាទូរគមនាគមន៍នៅក្នុងតំបន់ដែលលាតសន្ធឹងនៅមជ្ឈិមបូព៌ា អឺរ៉ុបខាងលិច និងអនុទ្វីបអាស៊ីខាងត្បូង។ ការឈ្លានពានតាមអ៊ីនធឺណិតទាំងនេះពឹងផ្អែកលើការប្រើប្រាស់កម្មវិធីចងក្រងតាមពេលវេលា (JIT) ដែលត្រូវបានរចនាឡើងសម្រាប់ភាសាសរសេរកម្មវិធី Lua ដែលត្រូវបានគេស្គាល់ថា LuaJIT ។ កម្មវិធីចងក្រងនេះបម្រើជាយានជំនិះសម្រាប់ដាក់ពង្រាយកម្មវិធីគំរាមកំហែងដែលបានរកឃើញថ្មីៗ ដែលហៅថា 'LuaDream'។

អ្នកស្រាវជ្រាវបានកត់សម្គាល់ថាសកម្មភាពដែលបានសង្កេតទាំងនេះត្រូវបានសម្គាល់ដោយចលនានៅពេលក្រោយជាយុទ្ធសាស្ត្រឆ្ពោះទៅរកស្ថានីយការងារពិសេសដែលបានជ្រើសរើសដោយប្រុងប្រយ័ត្នដោយមានអន្តរកម្មតិចតួចបំផុត។ ឥរិយាបថនេះបង្ហាញពីវិធីសាស្រ្តគណនាដែលត្រូវបានរចនាឡើងដើម្បីសម្រេចបាននូវគោលបំណងជាក់លាក់ ខណៈពេលដែលកាត់បន្ថយហានិភ័យនៃការរកឃើញ។ វត្តមានរបស់ LuaDream គូសបញ្ជាក់បន្ថែមអំពីភាពទំនើបនៃប្រតិបត្តិការនេះ ដោយបង្ហាញថាវាគឺជាគម្រោងដែលត្រូវបានប្រតិបត្តិយ៉ាងល្អ ថែទាំយ៉ាងសកម្ម និងបន្តអភិវឌ្ឍជាបន្តបន្ទាប់នៃទំហំសន្ធឹកសន្ធាប់។

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតនៅពីក្រោយ LuaDream បានប្រើវិធីសាស្រ្តដ៏កម្រមួយ។

វត្តមាននៃវត្ថុបុរាណខ្សែអក្សរនៅក្នុងកូដប្រភពនៃការផ្សាំនេះចង្អុលទៅបន្ទាត់ពេលវេលាដ៏សំខាន់មួយ ដោយមានឯកសារយោងចុះកាលបរិច្ឆេទដល់ថ្ងៃទី 3 ខែមិថុនា ឆ្នាំ 2022 ដែលបង្ហាញថា ការងារត្រៀមសម្រាប់ប្រតិបត្តិការនេះបានបន្តអស់រយៈពេលជាងមួយឆ្នាំហើយ។

ដំណើរការដំណាក់កាល LuaDream ត្រូវបានរៀបចំយ៉ាងម៉ត់ចត់ ដើម្បីគេចពីការរកឃើញ និងរារាំងការវិភាគ ដែលអនុញ្ញាតឱ្យមានការដាក់ពង្រាយមេរោគដោយផ្ទាល់ទៅក្នុងអង្គចងចាំកុំព្យូទ័រ។ បច្ចេកទេសដំណាក់កាលនេះពឹងផ្អែកយ៉ាងខ្លាំងលើវេទិកា LuaJIT ដែលជាកម្មវិធីចងក្រងតាមពេលវេលាដែលត្រូវបានរចនាឡើងសម្រាប់ភាសាស្គ្រីប Lua ។ គោលបំណងចម្បងគឺដើម្បីធ្វើឱ្យវាពិបាកក្នុងការរកឃើញកូដស្គ្រីប Lua ដែលខូច។ មាន​ការ​សង្ស័យ​ថា LuaDream អាច​ជា​របស់​មេរោគ​ប្រភេទ​ថ្មី​ដែល​គេ​ស្គាល់​ថា DreamLand។

ការប្រើប្រាស់មេរោគដែលមានមូលដ្ឋានលើ Lua គឺជាភាពកម្រដែលទាក់ទងនៅក្នុងទិដ្ឋភាពគំរាមកំហែង ដោយមានតែករណីដែលបានកត់ត្រាចំនួនបីប៉ុណ្ណោះដែលបានសង្កេតឃើញតាំងពីឆ្នាំ 2012។

LuaDream ត្រូវបានបំពាក់ដោយសមត្ថភាព Cyberespionage ដ៏មានឥទ្ធិពល

អ្នកវាយប្រហារត្រូវបានគេសង្កេតឃើញបានចូលរួមក្នុងសកម្មភាពជាបន្តបន្ទាប់ រួមទាំងការលួចនូវព័ត៌មានសម្ងាត់រដ្ឋបាល និងធ្វើការឈ្លបយកការណ៍ដើម្បីជ្រៀតចូលស្ថានីយការងារជាក់លាក់ដែលចាប់អារម្មណ៍។ គោលដៅចុងក្រោយរបស់ពួកគេគឺដើម្បីដាក់ឱ្យប្រើប្រាស់ LuaDream ។

LuaDream គឺជាម៉ូឌុល backdoor ពហុពិធីការ ដែលរួមមាន 13 ស្នូល និងសមាសភាគជំនួយ 21 ។ មុខងារចម្បងរបស់វាគឺដើម្បីបណ្តេញចេញទាំងប្រព័ន្ធ និងព័ត៌មានអ្នកប្រើប្រាស់ បន្ថែមពីលើការគ្រប់គ្រងកម្មវិធីជំនួយផ្សេងៗដែលផ្តល់ដោយអ្នកវាយប្រហារ ដែលបង្កើនសមត្ថភាពរបស់វា ដូចជាការប្រតិបត្តិពាក្យបញ្ជាជាដើម។ លើសពីនេះ LuaDream រួមបញ្ចូលនូវយន្តការប្រឆាំងការកែកំហុសជាច្រើន ដើម្បីគេចពីការរកឃើញ និងទប់ទល់នឹងការវិភាគ។

ដើម្បីបង្កើតទំនាក់ទំនង Command-and-Control (C2) LuaDream ទៅដល់ដែនមួយដែលមានឈ្មោះថា "mode.encagil.com" ដោយប្រើពិធីការ WebSocket ។ ទោះយ៉ាងណាក៏ដោយ វាក៏មានលទ្ធភាពទទួលយកការភ្ជាប់ចូលតាមរយៈពិធីការ TCP, HTTPS និង QUIC ផងដែរ។

ម៉ូឌុលស្នូលរួមបញ្ចូលមុខងារទាំងអស់ដែលបានរៀបរាប់ខាងលើ។ ក្នុងពេលជាមួយគ្នានេះ សមាសធាតុជំនួយដើរតួនាទីយ៉ាងសំខាន់ក្នុងការពង្រីកសមត្ថភាពរបស់ backdoor ដែលអនុញ្ញាតឱ្យវាស្តាប់ការតភ្ជាប់ដោយផ្អែកលើ Windows HTTP server API និងប្រតិបត្តិពាក្យបញ្ជាតាមតម្រូវការ។

LuaDream បម្រើជាឧទាហរណ៍គួរឱ្យកត់សម្គាល់នៃការប្តេជ្ញាចិត្តដែលកំពុងបន្ត និងភាពប៉ិនប្រសប់ដែលបង្ហាញដោយតួអង្គគំរាមកំហែងផ្នែកចារកម្មតាមអ៊ីនធឺណិត នៅពេលដែលពួកគេបន្តពង្រឹង និងកែលម្អឃ្លាំងអាវុធ និងបច្ចេកទេសគំរាមកំហែងរបស់ពួកគេ។ នេះបង្ហាញពីភាពស្វាហាប់ និងការវិវត្តនៃការគំរាមកំហែងតាមអ៊ីនធឺណិតនៅក្នុងទិដ្ឋភាពទំនើប ដែលអ្នកវាយប្រហារព្យាយាមបន្តទៅមុខជានិច្ចនូវវិធានការសុវត្ថិភាព និងរក្សាប្រសិទ្ធភាពរបស់ពួកគេក្នុងការជ្រៀតចូល និងសម្របសម្រួលប្រព័ន្ធគោលដៅ។