LuaDream 악성코드

이전에는 알려지지 않은 '샌드맨(Sandman)'이라는 새로운 위협 행위자가 중동, 서유럽 및 남아시아 아대륙에 걸쳐 있는 지역의 통신 제공업체를 대상으로 한 일련의 사이버 공격의 배후로 확인되었습니다. 이러한 사이버 침입은 LuaJIT로 알려진 Lua 프로그래밍 언어용으로 설계된 JIT(Just-In-Time) 컴파일러의 활용에 의존합니다. 이 컴파일러는 'LuaDream'이라고 하는 새로 발견된 위협 소프트웨어를 배포하기 위한 수단 역할을 합니다.

연구원들은 이러한 관찰된 활동이 최소한의 상호 작용으로 신중하게 선택된 특정 워크스테이션을 향한 전략적 측면 이동으로 표시된다는 점에 주목했습니다. 이 동작은 탐지 위험을 최소화하면서 특정 목표를 달성하도록 설계된 계산된 접근 방식을 제안합니다. LuaDream의 존재는 이 작업의 정교함을 더욱 강조하며, 상당한 규모의 잘 실행되고 적극적으로 유지 관리되며 지속적으로 개발되는 프로젝트임을 나타냅니다.

LuaDream 배후의 사이버 범죄자들은 드문 접근 방식을 사용했습니다

임플란트의 소스 코드에 문자열 아티팩트가 존재한다는 것은 중요한 타임라인을 가리키며, 참조 날짜는 2022년 6월 3일로 거슬러 올라갑니다. 이는 이 작업을 위한 준비 작업이 1년 넘게 진행되었음을 시사합니다.

LuaDream 스테이징 프로세스는 탐지를 피하고 분석을 방해하도록 세심하게 제작되어 맬웨어를 컴퓨터 메모리에 직접 원활하게 배포할 수 있습니다. 이 준비 기술은 Lua 스크립팅 언어용으로 설계된 JIT(Just-In-Time) 컴파일러인 LuaJIT 플랫폼에 크게 의존합니다. 주요 목표는 손상된 Lua 스크립트 코드를 감지하기 어렵게 만드는 것입니다. LuaDream이 DreamLand로 알려진 새로운 종류의 악성 코드에 속할 수 있다는 의혹이 있습니다.

Lua 기반 맬웨어의 사용은 위협 환경에서 상대적으로 드물며, 2012년 이후 문서화된 사례는 3개만 관찰되었습니다.

LuaDream은 강력한 사이버 스파이 기능을 갖추고 있습니다

공격자는 관리 자격 증명을 훔치고 관심 있는 특정 워크스테이션에 침투하기 위해 정찰을 수행하는 등 일련의 활동에 참여하는 것으로 관찰되었습니다. 그들의 궁극적인 목표는 LuaDream을 배포하는 것입니다.

LuaDream은 13개의 핵심 구성 요소와 21개의 지원 구성 요소로 구성된 모듈식 다중 프로토콜 백도어입니다. 주요 기능은 명령 실행과 같은 기능을 향상시키는 다양한 공격자가 제공한 플러그인을 관리하는 것 외에도 시스템 및 사용자 정보를 모두 유출하는 것입니다. 또한 LuaDream은 탐지를 회피하고 분석에 저항하기 위해 여러 가지 디버깅 방지 메커니즘을 통합합니다.

명령 및 제어(C2) 통신을 설정하기 위해 LuaDream은 WebSocket 프로토콜을 사용하여 "mode.encagil.com"이라는 도메인에 연결합니다. 그러나 TCP, HTTPS 및 QUIC 프로토콜을 통해 들어오는 연결을 수락하는 기능도 있습니다.

핵심 모듈은 앞서 언급한 모든 기능을 포함합니다. 동시에 지원 구성 요소는 백도어의 기능을 확장하는 데 중요한 역할을 하여 백도어가 Windows HTTP 서버 API를 기반으로 연결을 수신하고 필요에 따라 명령을 실행할 수 있도록 합니다.

LuaDream은 위협 도구 및 기술의 무기고를 지속적으로 강화하고 개선하면서 사이버 스파이 위협 행위자가 보여주는 지속적인 헌신과 독창성을 보여주는 주목할만한 예입니다. 이는 공격자가 지속적으로 보안 조치보다 앞서고 대상 시스템에 침투하고 손상시키는 효과를 유지하려고 노력하는 현대 환경에서 사이버 위협의 역동적이고 진화하는 특성을 강조합니다.