Lu0bot-malware

Ondanks dat het in februari 2021 door de infosec-gemeenschap werd ontdekt, bleef een eigenaardig stukje kwaadaardige software een raadsel met onbekende mogelijkheden. Met de naam Lu0bot Malware, werd de dreiging waargenomen in werking verbonden met de GCleaner (Garbage Cleaner) load-verkoper. In wezen fungeert GCleaner als een soort tussenpersoon in het cybercrimelandschap. Het is een van de vele entiteiten die apparaten compromitteren, maar in plaats van de aanvallen zelf te escaleren, bieden ze de gevestigde toegang of verduisterde gebruikersreferenties te koop aan andere hackersgroepen. De klanten kunnen de verkregen toegang vervolgens exploiteren op basis van hun kwade bedoelingen.

Meerlagige anti-analysetechnieken

Veel malwarebedreigingen zijn uitgerust met tegenmaatregelen tegen analyse. De Lu0bot-malware lijkt echter van een heel ander niveau te zijn. Een onderzoeker die opereert onder de naam Fumik0_ heeft geprobeerd enig licht te werpen op de innerlijke werking van de dreiging door een gedetailleerd rapport vrij te geven.

Aanvankelijk arriveert de Lu0bot-malware op het doelapparaat als een extreem kleine C/C++-lading met een enkele ontwikkelde functie - om een JavaScript-code van één regel uit te voeren via WinExec(). Het uiteindelijke doel is om een NodeJS-runtime op te halen en te starten. Na het opzetten van de Node.js-server op het gehackte apparaat, activeert Lu0bot een complexe JavaScript-code die de hoofdfunctionaliteit van de dreiging op verschillende manieren verbergt. De dreiging kan bijvoorbeeld willekeurig schakelen tussen de UDP- en TCP-protocollen, als het gekozen communicatiekanaal met de Command-and-Control-server (C2, C&C). Bovendien maakt de dreiging gebruik van een brede reeks versleutelingsalgoritmen om verschillende delen van zijn codebase te versleutelen - XOR, AES-128-CBC, Diffie-Hellmann en Blowfish.

Dynamische interne structuur

Het meest indrukwekkende kenmerk van Lu0bot is misschien wel het vermogen om dynamisch door de dreigingsactor te worden aangepast. De dreiging kan in realtime klassen en variabelen ontvangen van zijn C2-server. Deze dynamische structuur verhindert dat onderzoekers de hoofdfunctionaliteit en daarmee de doelen van de dreigingsactor kunnen onderscheiden. Wat tot nu toe is vastgesteld, is dat Lu0bot buitengewoon effectief is in het verzamelen van systeemdetails en informatie over de aangetaste systemen. Dit gedrag wordt echter gedeeld door de meeste moderne malwarebedreigingen en geeft geen inzicht in de doelen van de specifieke bedreigingsactor. In feite kan de dynamische interne structuur van de dreiging onderzoekers ervan weerhouden om de volledige mogelijkheden van Lu0bot volledig te onderscheiden. De dreiging kan functies hebben van een breed scala aan malware-bedreigingen - beginnend met een eenvoudige loader, tot een infostealer, achterdeur of krachtige Trojan voor externe toegang.