Malware LuaDream

Seorang pelakon ancaman yang muncul, yang sebelum ini tidak dikenali dan dinamakan 'Sandman,' telah dikenal pasti sebagai pelaku di sebalik beberapa siri serangan siber yang telah menyasarkan penyedia telekomunikasi secara khusus di wilayah yang merangkumi Timur Tengah, Eropah Barat dan benua kecil Asia Selatan. Pencerobohan siber ini bergantung pada penggunaan pengkompil just-in-time (JIT) yang direka untuk bahasa pengaturcaraan Lua, yang dikenali sebagai LuaJIT. Pengkompil ini berfungsi sebagai kenderaan untuk menggunakan perisian mengancam yang baru ditemui, dirujuk sebagai 'LuaDream.'

Penyelidik telah menyatakan bahawa aktiviti yang diperhatikan ini ditandai dengan pergerakan sisi strategik ke arah stesen kerja tertentu yang dipilih dengan teliti, dengan interaksi yang minimum. Tingkah laku ini mencadangkan pendekatan terkira yang direka untuk mencapai objektif khusus sambil meminimumkan risiko pengesanan. Kehadiran LuaDream menekankan lagi kecanggihan operasi ini, menunjukkan bahawa ia adalah projek yang dilaksanakan dengan baik, diselenggara secara aktif dan dibangunkan secara berterusan dalam skala yang besar.

Penjenayah Siber Di Belakang LuaDream Telah Menggunakan Pendekatan Jarang

Kehadiran artifak rentetan dalam kod sumber implan menunjukkan garis masa yang ketara, dengan rujukan sejak 3 Jun 2022, menunjukkan bahawa kerja persediaan untuk operasi ini telah berjalan selama lebih setahun.

Proses pementasan LuaDream telah direka dengan teliti untuk mengelakkan pengesanan dan menghalang analisis, membolehkan penggunaan perisian hasad yang lancar terus ke dalam memori komputer. Teknik pementasan ini sangat bergantung pada platform LuaJIT, yang merupakan penyusun tepat pada masa yang direka untuk bahasa skrip Lua. Objektif utama adalah untuk menjadikannya mencabar untuk mengesan kod skrip Lua yang rosak. Terdapat syak wasangka bahawa LuaDream mungkin tergolong dalam jenis perisian hasad baharu yang dikenali sebagai DreamLand.

Penggunaan perisian hasad berasaskan Lua adalah agak jarang berlaku dalam landskap ancaman, dengan hanya tiga kejadian yang didokumenkan diperhatikan sejak 2012.

LuaDream Dilengkapi dengan Keupayaan Cyberespionage yang Ampuh

Penyerang telah diperhatikan terlibat dalam beberapa siri aktiviti, termasuk pencurian bukti kelayakan pentadbiran dan menjalankan peninjauan untuk menyusup ke stesen kerja tertentu yang diminati. Matlamat utama mereka adalah untuk menggunakan LuaDream.

LuaDream ialah pintu belakang modular berbilang protokol yang terdiri daripada 13 komponen teras dan 21 komponen sokongan. Fungsi utamanya adalah untuk mengekstrak maklumat sistem dan pengguna, di samping mengurus pelbagai pemalam yang disediakan oleh penyerang yang meningkatkan keupayaannya, seperti pelaksanaan perintah. Tambahan pula, LuaDream menggabungkan beberapa mekanisme anti-debug untuk mengelakkan pengesanan dan menentang analisis.

Untuk mewujudkan komunikasi Perintah-dan-Kawalan (C2), LuaDream menghubungi domain bernama "mode.encagil.com" menggunakan protokol WebSocket. Walau bagaimanapun, ia juga mempunyai keupayaan untuk menerima sambungan masuk melalui protokol TCP, HTTPS dan QUIC.

Modul teras merangkumi semua fungsi yang disebutkan di atas. Pada masa yang sama, komponen sokongan memainkan peranan penting dalam mengembangkan keupayaan pintu belakang, membolehkan ia mendengar sambungan berdasarkan API pelayan HTTP Windows dan melaksanakan arahan seperti yang diperlukan.

LuaDream berfungsi sebagai contoh yang patut diberi perhatian tentang komitmen dan kebijaksanaan berterusan yang ditunjukkan oleh pelakon ancaman pengintipan siber semasa mereka terus meningkatkan dan memperhalusi senjata dan teknik mengancam mereka. Ini menyerlahkan sifat ancaman siber yang dinamik dan berkembang dalam landskap moden, di mana penyerang secara konsisten berusaha untuk mendahului langkah keselamatan dan mengekalkan keberkesanan mereka dalam menyusup dan menjejaskan sistem sasaran.