LuaDream Malware

Un nou actor de amenințare, necunoscut anterior și numit „Sandman”, a fost identificat drept autorul unei serii de atacuri cibernetice care au vizat în mod special furnizorii de telecomunicații din regiuni din Orientul Mijlociu, Europa de Vest și subcontinentul din Asia de Sud. Aceste intruziuni cibernetice se bazează pe utilizarea unui compilator just-in-time (JIT) conceput pentru limbajul de programare Lua, cunoscut sub numele de LuaJIT. Acest compilator servește drept vehicul pentru implementarea software-ului amenințător nou descoperit, denumit „LuaDream”.

Cercetătorii au observat că aceste activități observate sunt marcate de mișcare laterală strategică către stații de lucru specifice, atent selectate, cu interacțiune minimă. Acest comportament sugerează o abordare calculată menită să atingă obiective specifice, minimizând în același timp riscul de detectare. Prezența LuaDream subliniază și mai mult sofisticarea acestei operațiuni, indicând faptul că este un proiect bine executat, întreținut activ și dezvoltat continuu, de o scară considerabilă.

Criminalii cibernetici din spatele LuaDream au folosit o abordare rară

Prezența artefactelor de șir în codul sursă al implantului indică o cronologie semnificativă, cu referințe care datează din 3 iunie 2022, sugerând că lucrările pregătitoare pentru această operație sunt în desfășurare de peste un an.

Procesul de organizare LuaDream a fost meticulos conceput pentru a evita detectarea și a împiedica analiza, permițând implementarea fără probleme a malware-ului direct în memoria computerului. Această tehnică de organizare se bazează în mare măsură pe platforma LuaJIT, care este un compilator just-in-time conceput pentru limbajul de scripting Lua. Obiectivul principal este de a face dificilă detectarea codului de script Lua corupt. Există suspiciunea că LuaDream ar putea aparține unei noi tipuri de malware cunoscută sub numele de DreamLand.

Utilizarea malware-ului bazat pe Lua este o raritate relativă în peisajul amenințărilor, cu doar trei cazuri documentate observate din 2012.

LuaDream este echipat cu capabilități puternice de spionaj cibernetic

Atacatorii au fost observați angajându-se într-o serie de activități, inclusiv furtul de acreditări administrative și efectuarea de recunoașteri pentru a infiltra anumite stații de lucru de interes. Scopul lor final este să implementeze LuaDream.

LuaDream este o ușă din spate modulară, multi-protocol, care cuprinde 13 componente de bază și 21 de componente de suport. Funcția sa principală este de a exfiltra atât informațiile despre sistem, cât și despre utilizator, pe lângă gestionarea diferitelor plugin-uri furnizate de atacator care îi îmbunătățesc capacitățile, cum ar fi execuția comenzilor. În plus, LuaDream încorporează mai multe mecanisme anti-depanare pentru a evita detectarea și a rezista analizei.

Pentru a stabili o comunicare de comandă și control (C2), LuaDream ajunge la un domeniu numit „mode.encagil.com” folosind protocolul WebSocket. Cu toate acestea, are și capacitatea de a accepta conexiuni de intrare prin protocoale TCP, HTTPS și QUIC.

Modulele de bază cuprind toate funcționalitățile menționate mai sus. În același timp, componentele de asistență joacă un rol crucial în extinderea capacităților ușii din spate, permițându-i să asculte conexiunile bazate pe API-ul Windows HTTP server și să execute comenzi după cum este necesar.

LuaDream servește ca un exemplu demn de remarcat al angajamentului și ingeniozității continue manifestate de actorii amenințărilor de spionaj cibernetic, pe măsură ce își îmbunătățesc și își perfecționează continuu arsenalul de instrumente și tehnici de amenințare. Acest lucru evidențiază natura dinamică și evolutivă a amenințărilor cibernetice în peisajul modern, unde atacatorii se străduiesc în mod constant să rămână înaintea măsurilor de securitate și să-și mențină eficiența în infiltrarea și compromiterea sistemelor țintă.