Вредоносное ПО LuaDream

Новый злоумышленник, ранее неизвестный и получивший имя «Песочный человек», был идентифицирован как виновник серии кибератак, нацеленных конкретно на поставщиков телекоммуникационных услуг в регионах, охватывающих Ближний Восток, Западную Европу и южноазиатский субконтинент. Эти кибервторжения основаны на использовании JIT-компилятора, разработанного для языка программирования Lua, известного как LuaJIT. Этот компилятор служит средством развертывания недавно обнаруженного угрожающего программного обеспечения, называемого «LuaDream».

Исследователи отметили, что эти наблюдаемые действия характеризуются стратегическим горизонтальным движением к конкретным, тщательно выбранным рабочим местам с минимальным взаимодействием. Такое поведение предполагает расчетный подход, предназначенный для достижения конкретных целей при минимизации риска обнаружения. Присутствие LuaDream еще раз подчеркивает сложность этой операции, указывая на то, что это хорошо реализованный, активно поддерживаемый и постоянно развивающийся проект значительного масштаба.

Киберпреступники, стоящие за LuaDream, использовали редкий подход

Наличие строковых артефактов в исходном коде имплантата указывает на существенную временную шкалу со ссылками на 3 июня 2022 года, что позволяет предположить, что подготовительная работа к этой операции продолжается уже более года.

Процесс внедрения LuaDream был тщательно разработан, чтобы избежать обнаружения и затруднить анализ, что позволяет беспрепятственно развертывать вредоносное ПО непосредственно в памяти компьютера. Этот метод промежуточной подготовки в значительной степени опирается на платформу LuaJIT, которая представляет собой JIT-компилятор, разработанный для языка сценариев Lua. Основная цель — усложнить обнаружение поврежденного кода сценария Lua. Есть подозрение, что LuaDream может принадлежать новому виду вредоносного ПО, известному как DreamLand.

Использование вредоносных программ на основе Lua — относительная редкость в мире угроз: с 2012 года было зарегистрировано всего три таких случая.

LuaDream оснащен мощными возможностями кибершпионажа

Было замечено, что злоумышленники совершали ряд действий, включая кражу административных учетных данных и проведение разведки с целью проникновения на определенные рабочие станции, представляющие интерес. Их конечная цель — развернуть LuaDream.

LuaDream — это модульный многопротокольный бэкдор, состоящий из 13 основных компонентов и 21 вспомогательного компонента. Его основная функция — фильтрация как системной, так и пользовательской информации, а также управление различными плагинами, предоставленными злоумышленниками, которые расширяют его возможности, например выполнение команд. Кроме того, LuaDream включает в себя несколько механизмов защиты от отладки, позволяющих избежать обнаружения и анализа.

Чтобы установить связь управления и контроля (C2), LuaDream обращается к домену с именем «mode.encagil.com», используя протокол WebSocket. Однако он также имеет возможность принимать входящие соединения по протоколам TCP, HTTPS и QUIC.

Базовые модули включают в себя все вышеупомянутые функции. В то же время компоненты поддержки играют решающую роль в расширении возможностей бэкдора, позволяя ему прослушивать соединения на основе API HTTP-сервера Windows и выполнять команды по мере необходимости.

LuaDream служит заслуживающим внимания примером постоянной приверженности и изобретательности, проявляемых участниками угроз кибершпионажа, поскольку они постоянно расширяют и совершенствуют свой арсенал угрожающих инструментов и методов. Это подчеркивает динамичный и развивающийся характер киберугроз в современном мире, где злоумышленники постоянно стремятся опережать меры безопасности и поддерживать их эффективность при проникновении и компрометации целевых систем.