LuaDream मालवेयर
एक उदीयमान खतरा अभिनेता, पहिले अज्ञात र नाम 'स्यान्डम्यान', साइबर आक्रमणको श्रृंखला पछाडि अपराधीको रूपमा पहिचान गरिएको छ जसले विशेष गरी मध्य पूर्व, पश्चिमी युरोप र दक्षिण एसियाली उपमहाद्वीपमा फैलिएको क्षेत्रहरूमा दूरसञ्चार प्रदायकहरूलाई लक्षित गरेको छ। यी साइबर घुसपैठहरू लुआ प्रोग्रामिङ भाषाको लागि डिजाइन गरिएको जस्ट-इन-टाइम (JIT) कम्पाइलरको प्रयोगमा निर्भर हुन्छन्, जसलाई LuaJIT भनिन्छ। यो कम्पाइलरले भर्खरै पत्ता लागेको धम्की दिने सफ्टवेयरलाई 'LuaDream' भनेर चिनिन्छ।
अन्वेषकहरूले नोट गरेका छन् कि यी अवलोकन गरिएका गतिविधिहरू न्यूनतम अन्तर्क्रियाको साथ विशेष, सावधानीपूर्वक चयन गरिएका कार्यस्थानहरूतर्फ रणनीतिक पार्श्व आन्दोलनद्वारा चिन्हित छन्। यो व्यवहारले पत्ता लगाउने जोखिमलाई कम गर्दै विशेष उद्देश्यहरू प्राप्त गर्न डिजाइन गरिएको गणना गरिएको दृष्टिकोणको सुझाव दिन्छ। LuaDream को उपस्थितिले यो अपरेशनको परिष्कृततालाई अझ बलियो बनाउँछ, यसले यो राम्रोसँग कार्यान्वयन गरिएको, सक्रिय रूपमा मर्मत गरिएको, र निरन्तर रूपमा विकास गरिएको पर्याप्त मात्राको परियोजना हो भनेर सङ्केत गर्छ।
LuaDream पछाडि साइबर अपराधीहरूले दुर्लभ दृष्टिकोण प्रयोग गरेका छन्
इम्प्लान्टको स्रोत कोड भित्र स्ट्रिङ कलाकृतिहरूको उपस्थितिले जुन 3, 2022 सम्मको सन्दर्भहरूको साथ एक महत्त्वपूर्ण टाइमलाइनलाई संकेत गर्दछ, जसले यो अपरेशनको लागि तयारी कार्य एक वर्षभन्दा बढी समयदेखि चलिरहेको छ भन्ने सुझाव दिन्छ।
लुआड्रिम स्टेजिङ प्रक्रियालाई पत्ता लगाउनबाट जोगिन र विश्लेषणमा बाधा पुर्याउन सावधानीपूर्वक तयार गरिएको छ, जसले मालवेयरको सिमलेस डिप्लोइमेन्टलाई सीधै कम्प्युटर मेमोरीमा सक्षम पार्छ। यो स्टेजिङ प्रविधि LuaJIT प्लेटफर्ममा धेरै निर्भर गर्दछ, जुन लुआ स्क्रिप्टिङ भाषाको लागि डिजाइन गरिएको भर्खरको समयमा कम्पाइलर हो। मुख्य उद्देश्य भ्रष्ट लुआ लिपि कोड पत्ता लगाउन चुनौतीपूर्ण बनाउनु हो। लुआड्रिम ड्रीमल्याण्ड भनेर चिनिने मालवेयरको नयाँ स्ट्रेनसँग सम्बन्धित हुनसक्ने आशंका छ।
लुआ-आधारित मालवेयरको प्रयोग खतरा परिदृश्यमा सापेक्षिक दुर्लभता हो, 2012 यता मात्र तीनवटा दस्तावेज गरिएका उदाहरणहरू देखिएका छन्।
LuaDream शक्तिशाली साइबरस्पाइनेज क्षमताहरु संग सुसज्जित छ
आक्रमणकारीहरूले प्रशासनिक प्रमाणहरू चोरी गर्ने र चासोका विशिष्ट कार्यस्थलहरूमा घुसपैठ गर्न टोही सञ्चालन गर्नेलगायत गतिविधिहरूको श्रृंखलामा संलग्न भएको देखियो। तिनीहरूको अन्तिम लक्ष्य LuaDream प्रयोग गर्नु हो।
LuaDream एक मोड्युलर, बहु-प्रोटोकल ब्याकडोर हो जसमा 13 कोर कम्पोनेन्ट र 21 सपोर्ट कम्पोनेन्टहरू छन्। यसको प्राथमिक प्रकार्य भनेको प्रणाली र प्रयोगकर्ता जानकारी दुवैलाई बाहिर निकाल्नु हो, विभिन्न आक्रमणकर्ता-प्रदान गरिएका प्लगइनहरू प्रबन्ध गर्नका साथै यसका क्षमताहरू बढाउने, जस्तै आदेश कार्यान्वयन। यसबाहेक, LuaDream ले पत्ता लगाउनबाट बच्न र विश्लेषणको प्रतिरोध गर्न धेरै एन्टी-डिबगिङ मेकानिजमहरू समावेश गर्दछ।
Command-and-Control (C2) संचार स्थापना गर्न, LuaDream ले WebSocket प्रोटोकल प्रयोग गरेर "mode.encagil.com" नामक डोमेनमा पुग्छ। यद्यपि, यसमा TCP, HTTPS र QUIC प्रोटोकलहरू मार्फत आगमन जडानहरू स्वीकार गर्ने क्षमता पनि छ।
कोर मोड्युलहरूले माथि उल्लिखित सबै प्रकार्यहरू समावेश गर्दछ। एकै समयमा, समर्थन घटकहरूले ब्याकडोरको क्षमताहरू विस्तार गर्न महत्त्वपूर्ण भूमिका खेल्छ, यसले Windows HTTP सर्भर API मा आधारित जडानहरू सुन्न र आवश्यकता अनुसार आदेशहरू कार्यान्वयन गर्न अनुमति दिन्छ।
LuaDream ले साइबर जासूसी खतरा अभिनेताहरू द्वारा प्रदर्शित जारी प्रतिबद्धता र चतुरताको उल्लेखनीय उदाहरणको रूपमा कार्य गर्दछ किनकि तिनीहरूले धम्की दिने उपकरण र प्रविधिहरूको आफ्नो शस्त्रागारलाई निरन्तर बढाउँदै र परिष्कृत गर्छन्। यसले आधुनिक परिदृश्यमा साइबर खतराहरूको गतिशील र विकसित प्रकृतिलाई हाइलाइट गर्दछ, जहाँ आक्रमणकारीहरू लगातार सुरक्षा उपायहरू भन्दा अगाडि रहन र लक्ष्य प्रणालीहरूमा घुसपैठ र सम्झौतामा उनीहरूको प्रभावकारिता कायम राख्न प्रयास गर्छन्।
