Malvér LuaDream

Objavujúci sa aktér hrozby, predtým neznámy s názvom „Sandman“, bol identifikovaný ako páchateľ série kybernetických útokov, ktoré sa špecificky zamerali na poskytovateľov telekomunikačných služieb v regiónoch na Blízkom východe, v západnej Európe a na juhoázijskom subkontinente. Tieto kybernetické prieniky sa spoliehajú na využitie kompilátora just-in-time (JIT) navrhnutého pre programovací jazyk Lua, známy ako LuaJIT. Tento kompilátor slúži ako prostriedok na nasadenie novoobjaveného hrozivého softvéru, ktorý sa označuje ako „LuaDream“.

Výskumníci poznamenali, že tieto pozorované aktivity sa vyznačujú strategickým laterálnym pohybom smerom ku konkrétnym, starostlivo vybraným pracovným staniciam s minimálnou interakciou. Toto správanie naznačuje vypočítaný prístup navrhnutý na dosiahnutie špecifických cieľov pri minimalizácii rizika odhalenia. Prítomnosť LuaDream ďalej podčiarkuje sofistikovanosť tejto operácie, čo naznačuje, že ide o dobre vykonaný, aktívne udržiavaný a neustále rozvíjaný projekt značného rozsahu.

Kyberzločinci za LuaDream použili vzácny prístup

Prítomnosť reťazcových artefaktov v zdrojovom kóde implantátu poukazuje na významnú časovú os, s odkazmi z 3. júna 2022, čo naznačuje, že prípravné práce na túto operáciu prebiehajú už viac ako rok.

Proces zavádzania LuaDream bol starostlivo vytvorený tak, aby sa vyhol detekcii a bránil analýze, čo umožňuje bezproblémové nasadenie malvéru priamo do pamäte počítača. Táto technika prípravy sa vo veľkej miere spolieha na platformu LuaJIT, čo je kompilátor just-in-time navrhnutý pre skriptovací jazyk Lua. Primárnym cieľom je, aby bolo náročné odhaliť poškodený kód skriptu Lua. Existuje podozrenie, že LuaDream môže patriť do nového kmeňa malvéru známeho ako DreamLand.

Používanie malvéru založeného na Lua je v oblasti hrozieb relatívnou raritou, pričom od roku 2012 boli pozorované len tri zdokumentované prípady.

LuaDream je vybavený silnými schopnosťami kyberšpionáže

Útočníci boli pozorovaní, ako sa zapájajú do série činností, vrátane krádeže administratívnych poverení a vykonávania prieskumu s cieľom preniknúť do konkrétnych záujmových pracovných staníc. Ich konečným cieľom je nasadiť LuaDream.

LuaDream je modulárny, multiprotokolový backdoor obsahujúci 13 základných komponentov a 21 podporných komponentov. Jeho primárnou funkciou je okrem správy rôznych zásuvných modulov poskytnutých útočníkom, ktoré vylepšujú jeho možnosti, ako je napríklad vykonávanie príkazov, preniknúť do systémových aj používateľských informácií. Okrem toho LuaDream obsahuje niekoľko mechanizmov proti ladeniu, aby sa vyhli detekcii a analýze odolnosti.

Na vytvorenie komunikácie Command-and-Control (C2) LuaDream osloví doménu s názvom „mode.encagil.com“ pomocou protokolu WebSocket. Má však tiež schopnosť prijímať prichádzajúce pripojenia prostredníctvom protokolov TCP, HTTPS a QUIC.

Základné moduly zahŕňajú všetky vyššie uvedené funkcie. Komponenty podpory zároveň zohrávajú kľúčovú úlohu pri rozširovaní možností zadného vrátka, ktoré mu umožňuje počúvať pripojenia založené na API servera Windows HTTP a vykonávať príkazy podľa potreby.

LuaDream slúži ako pozoruhodný príklad pokračujúceho odhodlania a vynaliezavosti, ktorú prejavujú aktéri kybernetickej špionáže, keď neustále vylepšujú a zdokonaľujú svoj arzenál hrozivých nástrojov a techník. To poukazuje na dynamickú a vyvíjajúcu sa povahu kybernetických hrozieb v modernom prostredí, kde sa útočníci dôsledne snažia udržať náskok pred bezpečnostnými opatreniami a udržať si svoju efektivitu pri infiltrácii a kompromitovaní cieľových systémov.