LuaDream Malware

Нови актер претњи, раније непознат и назван „Сандман“, идентификован је као починилац који стоји иза серије сајбер напада који су посебно циљали телекомуникационе провајдере у регионима који обухватају Блиски исток, Западну Европу и јужноазијски потконтинент. Ови сајбер упади се ослањају на коришћење компајлера тачно на време (ЈИТ) дизајнираног за програмски језик Луа, познат као ЛуаЈИТ. Овај компајлер служи као средство за примену новооткривеног претећег софтвера, који се назива 'ЛуаДреам'.

Истраживачи су приметили да су ове посматране активности обележене стратешким бочним кретањем ка одређеним, пажљиво одабраним радним станицама, уз минималну интеракцију. Овакво понашање сугерише прорачунати приступ дизајниран да постигне специфичне циљеве уз минимизирање ризика од откривања. Присуство ЛуаДреам-а додатно наглашава софистицираност ове операције, указујући да је то добро изведен, активно одржаван и континуирано развијан пројекат значајног обима.

Сајбер криминалци који стоје иза ЛуаДреам-а користили су редак приступ

Присуство стринг артефаката унутар изворног кода имплантата указује на значајан временски оквир, са референцама које датирају од 3. јуна 2022. године, што сугерише да припремни рад за ову операцију траје више од годину дана.

Процес постављања ЛуаДреам-а је помно осмишљен да избегне откривање и омета анализу, омогућавајући беспрекорно постављање малвера директно у меморију рачунара. Ова техника упризорења у великој мери се ослања на ЛуаЈИТ платформу, која је компајлер тачно на време дизајниран за скрипт језик Луа. Примарни циљ је учинити изазовним откривање оштећеног кода Луа скрипте. Постоји сумња да ЛуаДреам можда припада новом соју злонамерног софтвера познатом као ДреамЛанд.

Употреба злонамерног софтвера заснованог на Луа-и је релативна реткост у окружењу претњи, са само три документована случаја примећена од 2012.

ЛуаДреам је опремљен моћним могућностима сајбер шпијунаже

Нападачи су примећени како учествују у низу активности, укључујући крађу административних акредитива и вршење извиђања како би се инфилтрирали на одређене радне станице од интереса. Њихов крајњи циљ је да имплементирају ЛуаДреам.

ЛуаДреам је модуларни бацкдоор са више протокола који се састоји од 13 основних компоненти и 21 компоненте подршке. Његова примарна функција је да ексфилтрира и системске и корисничке информације, поред управљања разним додацима које обезбеђује нападач који побољшавају његове могућности, као што је извршавање команди. Штавише, ЛуаДреам укључује неколико механизама за спречавање отклањања грешака да би се избегао откривање и одупирао анализи.

Да би успоставио Цомманд-анд-Цонтрол (Ц2) комуникацију, ЛуаДреам допире до домена под називом "моде.енцагил.цом" користећи ВебСоцкет протокол. Међутим, такође има могућност прихватања долазних веза преко ТЦП, ХТТПС и КУИЦ протокола.

Основни модули обухватају све горе наведене функционалности. У исто време, компоненте подршке играју кључну улогу у проширењу могућности бацкдоор-а, омогућавајући му да слуша везе засноване на АПИ-ју Виндовс ХТТП сервера и извршава команде по потреби.

ЛуаДреам служи као вредан пажње пример сталне посвећености и домишљатости коју показују актери претњи из сајбер шпијунаже док непрестано побољшавају и усавршавају свој арсенал претећих алата и техника. Ово наглашава динамичну и еволуирајућу природу сајбер претњи у савременом пејзажу, где нападачи доследно настоје да буду испред безбедносних мера и одрже своју ефикасност у инфилтрирању и компромитовању циљних система.