Złośliwe oprogramowanie LuaDream

Wyłaniający się podmiot zagrażający, wcześniej nieznany i nazwany „Sandman”, został zidentyfikowany jako sprawca serii cyberataków, których celem byli konkretnie dostawcy usług telekomunikacyjnych w regionach obejmujących Bliski Wschód, Europę Zachodnią i subkontynent Azji Południowej. Te cyberwłamania polegają na wykorzystaniu kompilatora just-in-time (JIT) zaprojektowanego dla języka programowania Lua, znanego jako LuaJIT. Kompilator ten służy jako narzędzie do wdrażania nowo odkrytego, groźnego oprogramowania zwanego „LuaDream”.

Badacze zauważyli, że obserwowane działania charakteryzują się strategicznym ruchem bocznym w kierunku konkretnych, starannie wybranych stanowisk pracy, przy minimalnej interakcji. To zachowanie sugeruje wykalkulowane podejście mające na celu osiągnięcie określonych celów przy jednoczesnej minimalizacji ryzyka wykrycia. Obecność LuaDream dodatkowo podkreśla wyrafinowanie tej operacji, wskazując, że jest to dobrze wykonany, aktywnie utrzymywany i stale rozwijany projekt o znacznej skali.

Cyberprzestępcy stojący za LuaDream zastosowali rzadkie podejście

Obecność artefaktów ciągowych w kodzie źródłowym implantu wskazuje na znaczący harmonogram, a odniesienia do niego sięgają 3 czerwca 2022 r., co sugeruje, że prace przygotowawcze do tej operacji trwają już ponad rok.

Proces przemieszczania LuaDream został starannie opracowany, aby uniknąć wykrycia i utrudnić analizę, umożliwiając bezproblemowe wdrożenie złośliwego oprogramowania bezpośrednio do pamięci komputera. Ta technika przemieszczania w dużym stopniu opiera się na platformie LuaJIT, która jest kompilatorem just-in-time zaprojektowanym dla języka skryptowego Lua. Głównym celem jest utrudnienie wykrycia uszkodzonego kodu skryptu Lua. Istnieje podejrzenie, że LuaDream może należeć do nowej odmiany złośliwego oprogramowania znanej jako DreamLand.

Wykorzystywanie szkodliwego oprogramowania opartego na Lua jest względną rzadkością w krajobrazie zagrożeń – od 2012 r. zaobserwowano jedynie trzy udokumentowane przypadki.

LuaDream jest wyposażony w potężne możliwości cyberszpiegostwa

Zaobserwowano, że osoby atakujące podejmowały szereg działań, w tym kradzież danych uwierzytelniających administracyjnych i przeprowadzanie rozpoznania w celu infiltracji określonych stacji roboczych. Ich ostatecznym celem jest wdrożenie LuaDream.

LuaDream to modułowy, wieloprotokołowy backdoor składający się z 13 komponentów podstawowych i 21 komponentów pomocniczych. Jego podstawową funkcją jest eksfiltracja informacji o systemie i użytkowniku, a także zarządzanie różnymi wtyczkami dostarczonymi przez osobę atakującą, które zwiększają jego możliwości, takie jak wykonywanie poleceń. Co więcej, LuaDream zawiera kilka mechanizmów zapobiegających debugowaniu, aby uniknąć wykrycia i oprzeć się analizie.

Aby nawiązać komunikację typu Command-and-Control (C2), LuaDream łączy się z domeną o nazwie „mode.encagil.com” przy użyciu protokołu WebSocket. Jednakże ma również możliwość akceptowania połączeń przychodzących poprzez protokoły TCP, HTTPS i QUIC.

Moduły podstawowe obejmują wszystkie wyżej wymienione funkcjonalności. Jednocześnie komponenty wsparcia odgrywają kluczową rolę w rozszerzaniu możliwości backdoora, umożliwiając mu nasłuchiwanie połączeń w oparciu o API serwera Windows HTTP i wykonywanie poleceń zgodnie z wymaganiami.

LuaDream stanowi godny uwagi przykład ciągłego zaangażowania i pomysłowości wykazywanych przez cyberprzestępców, którzy nieustannie ulepszają i udoskonalają swój arsenał groźnych narzędzi i technik. Podkreśla to dynamiczny i ewoluujący charakter zagrożeń cybernetycznych we współczesnym krajobrazie, w którym napastnicy konsekwentnie starają się wyprzedzić środki bezpieczeństwa i utrzymać swoją skuteczność w infiltrowaniu i naruszaniu systemów docelowych.