LuaDream Malware

Një aktor kërcënimi në zhvillim, i panjohur më parë dhe i quajtur 'Sandman', është identifikuar si autori pas një serie sulmesh kibernetike që kanë synuar në mënyrë specifike ofruesit e telekomunikacionit në rajonet që përfshijnë Lindjen e Mesme, Evropën Perëndimore dhe nënkontinentin e Azisë Jugore. Këto ndërhyrje kibernetike mbështeten në përdorimin e një përpiluesi vetëm në kohë (JIT) të krijuar për gjuhën e programimit Lua, të njohur si LuaJIT. Ky përpilues shërben si mjet për vendosjen e softuerit kërcënues të sapo zbuluar, të referuar si 'LuaDream'.

Studiuesit kanë vërejtur se këto aktivitete të vëzhguara karakterizohen nga një lëvizje anësore strategjike drejt stacioneve të veçanta të punës, të zgjedhura me kujdes, me ndërveprim minimal. Kjo sjellje sugjeron një qasje të llogaritur të krijuar për të arritur objektiva specifikë duke minimizuar rrezikun e zbulimit. Prania e LuaDream nënvizon më tej sofistikimin e këtij operacioni, duke treguar se ai është një projekt i mirë-ekzekutuar, i mirëmbajtur në mënyrë aktive dhe i zhvilluar vazhdimisht në shkallë të konsiderueshme.

Kriminelët kibernetikë pas LuaDream kanë përdorur një qasje të rrallë

Prania e artefakteve të vargut brenda kodit burimor të implantit tregon një afat kohor të rëndësishëm, me referenca që datojnë në 3 qershor 2022, duke sugjeruar se puna përgatitore për këtë operacion ka vazhduar për më shumë se një vit.

Procesi i vendosjes së LuaDream është krijuar me përpikëri për të shmangur zbulimin dhe pengimin e analizës, duke mundësuar vendosjen e pandërprerë të malware direkt në kujtesën e kompjuterit. Kjo teknikë e vënies në skenë mbështetet shumë në platformën LuaJIT, e cila është një përpilues vetëm në kohë i krijuar për gjuhën e skriptimit Lua. Objektivi kryesor është ta bëjmë sfidues zbulimin e kodit të skriptit të korruptuar Lua. Ekziston dyshimi se LuaDream mund t'i përkasë një lloji të ri malware të njohur si DreamLand.

Përdorimi i malware me bazë Lua është një gjë e rrallë në peizazhin e kërcënimit, me vetëm tre raste të dokumentuara të vëzhguara që nga viti 2012.

LuaDream është i pajisur me aftësi të fuqishme të spiunazhit kibernetik

Sulmuesit janë vëzhguar duke u përfshirë në një sërë aktivitetesh, duke përfshirë vjedhjen e kredencialeve administrative dhe kryerjen e zbulimit për të depërtuar në stacione pune specifike me interes. Qëllimi i tyre përfundimtar është të vendosin LuaDream.

LuaDream është një derë e pasme modulare, me shumë protokolle, e përbërë nga 13 komponentë thelbësorë dhe 21 komponentë mbështetës. Funksioni i tij kryesor është të eksplorojë informacionin e sistemit dhe të përdoruesit, përveç menaxhimit të shtojcave të ndryshme të ofruara nga sulmuesit që rrisin aftësitë e tij, siç është ekzekutimi i komandës. Për më tepër, LuaDream përfshin disa mekanizma kundër korrigjimit për të shmangur zbulimin dhe për t'i rezistuar analizave.

Për të krijuar një komunikim Command-and-Control (C2), LuaDream lidhet me një domen të quajtur "mode.encagil.com" duke përdorur protokollin WebSocket. Megjithatë, ai gjithashtu ka aftësinë për të pranuar lidhjet hyrëse përmes protokolleve TCP, HTTPS dhe QUIC.

Modulet kryesore përfshijnë të gjitha funksionalitetet e lartpërmendura. Në të njëjtën kohë, komponentët mbështetës luajnë një rol vendimtar në zgjerimin e aftësive të derës së pasme, duke e lejuar atë të dëgjojë lidhjet e bazuara në API të serverit Windows HTTP dhe të ekzekutojë komanda sipas nevojës.

LuaDream shërben si një shembull i rëndësishëm i përkushtimit dhe zgjuarsisë së vazhdueshme të shfaqur nga aktorët e kërcënimit të spiunazhit kibernetik, ndërsa ata vazhdimisht përmirësojnë dhe përsosin arsenalin e tyre të mjeteve dhe teknikave kërcënuese. Kjo nxjerr në pah natyrën dinamike dhe në zhvillim të kërcënimeve kibernetike në peizazhin modern, ku sulmuesit vazhdimisht përpiqen të qëndrojnë përpara masave të sigurisë dhe të ruajnë efektivitetin e tyre në infiltrimin dhe kompromentimin e sistemeve të synuara.