มัลแวร์ LuaDream

ผู้ก่อภัยคุกคามรายใหม่ ซึ่งก่อนหน้านี้ไม่รู้จักและตั้งชื่อว่า 'แซนด์แมน' ได้รับการระบุว่าเป็นผู้ก่อเหตุที่อยู่เบื้องหลังการโจมตีทางไซเบอร์หลายครั้งที่มุ่งเป้าไปที่ผู้ให้บริการโทรคมนาคมโดยเฉพาะในภูมิภาคต่างๆ ครอบคลุมตะวันออกกลาง ยุโรปตะวันตก และอนุทวีปเอเชียใต้ การบุกรุกทางไซเบอร์เหล่านี้อาศัยการใช้คอมไพเลอร์แบบทันเวลา (JIT) ที่ออกแบบมาสำหรับภาษาโปรแกรม Lua หรือที่เรียกว่า LuaJIT คอมไพเลอร์นี้ทำหน้าที่เป็นเครื่องมือในการปรับใช้ซอฟต์แวร์คุกคามที่เพิ่งค้นพบใหม่ ซึ่งเรียกว่า 'LuaDream'

นักวิจัยตั้งข้อสังเกตว่ากิจกรรมที่สังเกตได้เหล่านี้ถูกกำหนดโดยการเคลื่อนไหวด้านข้างเชิงกลยุทธ์ไปยังเวิร์กสเตชันที่คัดสรรมาอย่างดีโดยเฉพาะ โดยมีปฏิสัมพันธ์น้อยที่สุด ลักษณะการทำงานนี้แนะนำแนวทางการคำนวณที่ออกแบบมาเพื่อบรรลุวัตถุประสงค์เฉพาะในขณะเดียวกันก็ลดความเสี่ยงในการตรวจจับให้เหลือน้อยที่สุด การมีอยู่ของ LuaDream ตอกย้ำถึงความซับซ้อนของการดำเนินการนี้ ซึ่งบ่งชี้ว่าเป็นโครงการที่ได้รับการดำเนินการอย่างดี ได้รับการดูแลอย่างแข็งขัน และพัฒนาอย่างต่อเนื่องในขนาดใหญ่

อาชญากรไซเบอร์ที่อยู่เบื้องหลัง LuaDream ได้ใช้แนวทางที่หาได้ยาก

การมีอยู่ของสิ่งประดิษฐ์สตริงภายในซอร์สโค้ดของรากฟันเทียมชี้ให้เห็นลำดับเวลาที่สำคัญ โดยมีการอ้างอิงย้อนหลังไปถึง 3 มิถุนายน 2022 ซึ่งบ่งบอกว่างานเตรียมการสำหรับการดำเนินการนี้ดำเนินไปอย่างต่อเนื่องมานานกว่าหนึ่งปี

กระบวนการจัดเตรียม LuaDream ได้รับการสร้างสรรค์ขึ้นอย่างพิถีพิถันเพื่อหลีกเลี่ยงการตรวจจับและขัดขวางการวิเคราะห์ ทำให้สามารถปรับใช้มัลแวร์ในหน่วยความจำคอมพิวเตอร์โดยตรงได้อย่างราบรื่น เทคนิคการจัดเตรียมนี้อาศัยแพลตฟอร์ม LuaJIT เป็นอย่างมาก ซึ่งเป็นคอมไพเลอร์แบบทันเวลาซึ่งออกแบบมาสำหรับภาษาสคริปต์ Lua วัตถุประสงค์หลักคือทำให้การตรวจจับโค้ดสคริปต์ Lua ที่เสียหายเป็นเรื่องที่ท้าทาย มีข้อสงสัยว่า LuaDream อาจเป็นของมัลแวร์สายพันธุ์ใหม่ที่เรียกว่า DreamLand

การใช้มัลแวร์แบบ Lua นั้นค่อนข้างหายากในขอบเขตภัยคุกคาม โดยมีเพียงสามอินสแตนซ์ที่บันทึกไว้นับตั้งแต่ปี 2012

LuaDream มาพร้อมกับความสามารถในการจารกรรมทางไซเบอร์ที่มีศักยภาพ

ผู้โจมตีถูกพบว่ามีส่วนร่วมในกิจกรรมต่างๆ มากมาย รวมถึงการขโมยข้อมูลประจำตัวของผู้ดูแลระบบ และดำเนินการลาดตระเวนเพื่อแทรกซึมเข้าไปในเวิร์กสเตชันเฉพาะที่สนใจ เป้าหมายสูงสุดของพวกเขาคือการปรับใช้ LuaDream

LuaDream เป็นแบ็คดอร์หลายโปรโตคอลแบบโมดูลาร์ที่ประกอบด้วยส่วนประกอบหลัก 13 ชิ้นและส่วนประกอบสนับสนุน 21 ชิ้น หน้าที่หลักคือการขโมยข้อมูลทั้งระบบและข้อมูลผู้ใช้ นอกเหนือจากการจัดการปลั๊กอินต่างๆ ที่ผู้โจมตีจัดหาให้ ซึ่งช่วยเพิ่มขีดความสามารถของมัน เช่น การดำเนินการคำสั่ง นอกจากนี้ LuaDream ยังรวมเอากลไกต่อต้านการดีบักหลายอย่างเพื่อหลบเลี่ยงการตรวจจับและต่อต้านการวิเคราะห์

เพื่อสร้างการสื่อสาร Command-and-Control (C2) LuaDream เข้าถึงโดเมนชื่อ "mode.encagil.com" โดยใช้โปรโตคอล WebSocket อย่างไรก็ตาม ยังมีความสามารถในการยอมรับการเชื่อมต่อขาเข้าผ่านโปรโตคอล TCP, HTTPS และ QUIC อีกด้วย

โมดูลหลักครอบคลุมฟังก์ชันทั้งหมดที่กล่าวมาข้างต้น ในเวลาเดียวกัน องค์ประกอบการสนับสนุนมีบทบาทสำคัญในการขยายขีดความสามารถของแบ็คดอร์ ทำให้สามารถรับฟังการเชื่อมต่อตาม API เซิร์ฟเวอร์ Windows HTTP และดำเนินการคำสั่งตามที่ต้องการ

LuaDream ทำหน้าที่เป็นตัวอย่างที่สำคัญของความมุ่งมั่นและความเฉลียวฉลาดที่แสดงโดยผู้คุกคามจารกรรมทางไซเบอร์ ในขณะที่พวกเขาปรับปรุงและปรับแต่งคลังแสงของเครื่องมือและเทคนิคการคุกคามอย่างต่อเนื่อง สิ่งนี้เน้นให้เห็นถึงธรรมชาติของภัยคุกคามทางไซเบอร์ที่มีพลวัตและการพัฒนาในภูมิทัศน์ยุคใหม่ ซึ่งผู้โจมตีพยายามอย่างต่อเนื่องที่จะก้าวนำมาตรการรักษาความปลอดภัยและรักษาประสิทธิภาพในการแทรกซึมและโจมตีระบบเป้าหมาย