LuaDream ļaunprātīga programmatūra

Jauns draudu aktieris, kurš iepriekš nebija zināms un vārdā "Smilšmens", ir identificēts kā vaininieks virknē kiberuzbrukumu, kas īpaši vērsti pret telekomunikāciju pakalpojumu sniedzējiem reģionos, kas aptver Tuvos Austrumus, Rietumeiropu un Dienvidāzijas subkontinentu. Šie kiberielaušanās gadījumi ir balstīti uz tieši-in-time (JIT) kompilatora izmantošanu, kas paredzēts Lua programmēšanas valodai, kas pazīstams kā LuaJIT. Šis kompilators kalpo kā līdzeklis jaunatklātas apdraudošas programmatūras izvietošanai, ko dēvē par “LuaDream”.

Pētnieki ir atzīmējuši, ka šīm novērotajām aktivitātēm ir raksturīga stratēģiska sānu kustība uz noteiktām, rūpīgi atlasītām darbstacijām ar minimālu mijiedarbību. Šāda rīcība liecina par aprēķinātu pieeju, kas paredzēta konkrētu mērķu sasniegšanai, vienlaikus samazinot atklāšanas risku. LuaDream klātbūtne vēl vairāk uzsver šīs operācijas sarežģītību, norādot, ka tas ir labi izpildīts, aktīvi uzturēts un nepārtraukti attīstīts ievērojama mēroga projekts.

Kibernoziedznieki aiz LuaDream ir izmantojuši retu pieeju

Virknes artefaktu klātbūtne implanta avota kodā norāda uz nozīmīgu laika grafiku, un atsauces ir datētas ar 2022. gada 3. jūniju, kas liecina, ka šīs operācijas sagatavošanas darbi turpinās jau vairāk nekā gadu.

LuaDream inscenēšanas process ir rūpīgi izstrādāts, lai izvairītos no atklāšanas un kavētu analīzi, ļaujot netraucēti izvietot ļaunprātīgu programmatūru tieši datora atmiņā. Šī inscenēšanas tehnika lielā mērā balstās uz LuaJIT platformu, kas ir tieši laikā paredzēts kompilators, kas paredzēts Lua skriptu valodai. Galvenais mērķis ir padarīt bojātā Lua skripta koda noteikšanu sarežģītu. Pastāv aizdomas, ka LuaDream varētu piederēt jaunam ļaunprātīgas programmatūras celmam, kas pazīstams kā DreamLand.

Uz Lua balstītas ļaunprātīgas programmatūras izmantošana draudu vidē ir relatīvs retums, un kopš 2012. gada ir novēroti tikai trīs dokumentēti gadījumi.

LuaDream ir aprīkots ar spēcīgām kiberspiegošanas iespējām

Tika novērots, ka uzbrucēji iesaistās virknē darbību, tostarp administratīvo akreditācijas datu zādzībās un izlūkošanas, lai iefiltrētos konkrētās interesējošās darbstacijās. Viņu galvenais mērķis ir izvietot LuaDream.

LuaDream ir modulāra, vairāku protokolu aizmugures durvis, kas ietver 13 galvenos komponentus un 21 atbalsta komponentu. Tās galvenā funkcija ir izfiltrēt gan sistēmas, gan lietotāja informāciju, kā arī pārvaldīt dažādus uzbrucēju nodrošinātos spraudņus, kas uzlabo tā iespējas, piemēram, komandu izpildi. Turklāt LuaDream ietver vairākus pretatkļūdošanas mehānismus, lai izvairītos no atklāšanas un pretoties analīzei.

Lai izveidotu Command-and-Control (C2) komunikāciju, LuaDream sazinās ar domēnu ar nosaukumu “mode.encagil.com”, izmantojot WebSocket protokolu. Tomēr tam ir arī iespēja pieņemt ienākošos savienojumus, izmantojot TCP, HTTPS un QUIC protokolus.

Pamata moduļi ietver visas iepriekš minētās funkcijas. Tajā pašā laikā atbalsta komponentiem ir izšķiroša nozīme aizmugures durvju iespēju paplašināšanā, ļaujot tai klausīties savienojumus, kuru pamatā ir Windows HTTP servera API, un izpildīt komandas pēc vajadzības.

LuaDream ir ievērības cienīgs piemērs pastāvīgajai apņēmībai un atjautībai, ko demonstrē kiberspiegošanas draudu dalībnieki, nepārtraukti pilnveidojot un pilnveidojot savu draudošo rīku un paņēmienu arsenālu. Tas izceļ kiberdraudu dinamisko un mainīgo raksturu mūsdienu ainavā, kur uzbrucēji pastāvīgi cenšas apsteigt drošības pasākumus un saglabāt savu efektivitāti, iefiltrējoties un apdraudot mērķa sistēmas.