LuaDream Malware

Nastajajoči akter grožnje, ki je bil prej neznan in se je imenoval "Sandman", je bil identificiran kot storilec za serijo kibernetskih napadov, ki so bili posebej usmerjeni na ponudnike telekomunikacij v regijah, ki obsegajo Bližnji vzhod, zahodno Evropo in južnoazijsko podcelino. Ti kibernetski vdori so odvisni od uporabe prevajalnika pravočasnosti (JIT), zasnovanega za programski jezik Lua, znanega kot LuaJIT. Ta prevajalnik služi kot sredstvo za uvajanje na novo odkrite grozljive programske opreme, imenovane "LuaDream".

Raziskovalci so opazili, da so te opazovane dejavnosti zaznamovane s strateškim bočnim gibanjem proti določenim, skrbno izbranim delovnim postajam, z minimalno interakcijo. To vedenje nakazuje preračunljiv pristop, zasnovan za doseganje določenih ciljev ob zmanjšanju tveganja odkrivanja. Prisotnost LuaDream še dodatno poudarja prefinjenost te operacije, kar kaže, da gre za dobro izveden, aktivno vzdrževan in nenehno razvijan projekt velikega obsega.

Kibernetski kriminalci, ki stojijo za LuaDream, so uporabili redek pristop

Prisotnost artefaktov nizov v izvorni kodi vsadka kaže na pomembno časovnico, s sklicevanjem na 3. junij 2022, kar kaže na to, da pripravljalna dela za to operacijo potekajo že več kot eno leto.

Postopek uprizarjanja LuaDream je bil natančno oblikovan tako, da se izogne odkrivanju in ovira analizo, kar omogoča brezhibno uvajanje zlonamerne programske opreme neposredno v pomnilnik računalnika. Ta tehnika uprizarjanja se močno opira na platformo LuaJIT, ki je pravočasni prevajalnik, zasnovan za skriptni jezik Lua. Glavni cilj je otežiti odkrivanje poškodovane kode skripta Lua. Obstaja sum, da LuaDream pripada novi vrsti zlonamerne programske opreme, imenovani DreamLand.

Uporaba zlonamerne programske opreme, ki temelji na Lui, je razmeroma redkost v okolju groženj, saj so od leta 2012 opazili le tri dokumentirane primere.

LuaDream je opremljen z močnimi zmogljivostmi kibernetskega vohunjenja

Opaženi so bili napadalci, ki izvajajo vrsto dejavnosti, vključno s krajo upravnih poverilnic in izvajanjem izvidovanja, da bi se infiltrirali v določene delovne postaje, ki jih zanimajo. Njihov končni cilj je uvesti LuaDream.

LuaDream je modularna stranska vrata z več protokoli, ki obsega 13 jedrnih komponent in 21 podpornih komponent. Njegova primarna funkcija je izločanje sistemskih in uporabniških informacij, poleg upravljanja različnih vtičnikov, ki jih zagotovijo napadalci, ki izboljšujejo njegove zmogljivosti, kot je izvajanje ukazov. Poleg tega LuaDream vključuje več mehanizmov za odpravljanje napak, da se izogne zaznavanju in upre analizi.

Za vzpostavitev komunikacije Command-and-Control (C2) se LuaDream poveže z domeno z imenom "mode.encagil.com" s pomočjo protokola WebSocket. Vendar pa ima tudi možnost sprejemanja dohodnih povezav prek protokolov TCP, HTTPS in QUIC.

Osnovni moduli zajemajo vse prej omenjene funkcionalnosti. Hkrati imajo podporne komponente ključno vlogo pri razširitvi zmogljivosti zakulisnih vrat, saj jim omogočajo poslušanje povezav na podlagi API-ja strežnika Windows HTTP in izvajanje ukazov po potrebi.

LuaDream služi kot omembe vreden primer nenehne predanosti in iznajdljivosti akterjev kibernetskega vohunjenja, ki nenehno izboljšujejo in izpopolnjujejo svoj arzenal grozilnih orodij in tehnik. To poudarja dinamično in razvijajočo se naravo kibernetskih groženj v sodobnem okolju, kjer si napadalci dosledno prizadevajo biti pred varnostnimi ukrepi in ohraniti njihovo učinkovitost pri infiltraciji in ogrožanju ciljnih sistemov.