LuaDream kenkėjiška programa

Naujas grėsmės veikėjas, anksčiau nežinomas ir pavadintas „Smėlio žmogumi“, buvo nustatytas kaip kaltininkas už daugybę kibernetinių atakų, kurios buvo konkrečiai nukreiptos į telekomunikacijų paslaugų teikėjus regionuose, apimančiuose Vidurinius Rytus, Vakarų Europą ir Pietų Azijos subkontinentą. Šie kibernetiniai įsilaužimai priklauso nuo tiesioginio laiko (JIT) kompiliatoriaus, sukurto Lua programavimo kalbai, žinomo kaip LuaJIT, naudojimu. Šis kompiliatorius naudojamas kaip priemonė diegti naujai atrastą grėsmingą programinę įrangą, vadinamą „LuaDream“.

Tyrėjai pastebėjo, kad šios stebimos veiklos pasižymi strateginiu šoniniu judėjimu link konkrečių, kruopščiai atrinktų darbo vietų, su minimalia sąveika. Toks elgesys rodo apskaičiuotą metodą, skirtą konkretiems tikslams pasiekti, tuo pačiu sumažinant aptikimo riziką. „LuaDream“ buvimas dar labiau pabrėžia šios operacijos sudėtingumą, o tai rodo, kad tai yra gerai atliktas, aktyviai prižiūrimas ir nuolat tobulinamas didelio masto projektas.

„LuaDream“ kibernetiniai nusikaltėliai taikė retą požiūrį

Styginių artefaktų buvimas implanto šaltinio kode rodo reikšmingą laiko juostą, o nuorodos siekia 2022 m. birželio 3 d., o tai rodo, kad parengiamieji darbai šiai operacijai tęsiasi daugiau nei metus.

„LuaDream“ sustojimo procesas buvo kruopščiai sukurtas, kad būtų išvengta aptikimo ir trukdoma analizei, todėl kenkėjiška programa būtų sklandžiai įdiegta tiesiai į kompiuterio atmintį. Ši kūrimo technika labai priklauso nuo „LuaJIT“ platformos, kuri yra „just-in-time“ kompiliatorius, sukurtas Lua scenarijų kalbai. Pagrindinis tikslas yra padaryti sudėtingą aptikti sugadintą Lua scenarijaus kodą. Yra įtarimų, kad „LuaDream“ gali priklausyti naujai kenkėjiškų programų atmainai, vadinamai „DreamLand“.

Lua pagrįstos kenkėjiškos programos yra santykinai retas pavojus, nes nuo 2012 m. pastebėti tik trys dokumentais pagrįsti atvejai.

„LuaDream“ yra aprūpintas galingomis kibernetinio šnipinėjimo galimybėmis

Pastebėta, kad užpuolikai užsiima įvairia veikla, įskaitant administracinių įgaliojimų vagystę ir žvalgybą, kad įsiskverbtų į konkrečias dominančias darbo vietas. Jų galutinis tikslas yra įdiegti „LuaDream“.

„LuaDream“ yra modulinė, kelių protokolų galinė durelė, kurią sudaro 13 pagrindinių komponentų ir 21 pagalbinis komponentas. Pagrindinė jo funkcija yra išfiltruoti tiek sistemos, tiek vartotojo informaciją, be to, valdyti įvairius užpuolikų teikiamus papildinius, kurie pagerina jo galimybes, pvz., komandų vykdymą. Be to, „LuaDream“ apima kelis apsaugos nuo derinimo mechanizmus, leidžiančius išvengti aptikimo ir priešintis analizei.

Kad užmegztų komandų ir valdymo (C2) ryšį, „LuaDream“ susisiekia su domenu pavadinimu „mode.encagil.com“, naudodama „WebSocket“ protokolą. Tačiau jis taip pat turi galimybę priimti įeinančius ryšius per TCP, HTTPS ir QUIC protokolus.

Pagrindiniai moduliai apima visas pirmiau minėtas funkcijas. Tuo pačiu metu palaikymo komponentai atlieka lemiamą vaidmenį plečiant užpakalinių durų galimybes, leidžiant jai klausytis jungčių, pagrįstų Windows HTTP serverio API, ir vykdyti komandas, jei reikia.

„LuaDream“ yra dėmesio vertas nuolatinio įsipareigojimo ir išradingumo pavyzdys, kurį demonstruoja kibernetinio šnipinėjimo grėsmės veikėjai, nuolat tobulindami ir tobulindami savo grėsmingų įrankių ir metodų arsenalą. Tai pabrėžia dinamišką ir besikeičiantį kibernetinių grėsmių pobūdį šiuolaikiniame kraštovaizdyje, kur užpuolikai nuosekliai stengiasi neatsilikti nuo saugumo priemonių ir išlaikyti savo efektyvumą įsiskverbdami į tikslines sistemas ir jas pažeidžiant.