Malware ng LuaDream
Ang isang umuusbong na aktor ng pagbabanta, na dati nang hindi kilala at pinangalanang 'Sandman,' ay kinilala bilang ang may kasalanan sa likod ng isang serye ng mga cyberattacks na partikular na naka-target sa mga provider ng telekomunikasyon sa mga rehiyon na sumasaklaw sa Middle East, Western Europe at South Asian subcontinent. Ang mga cyber intrusions na ito ay umaasa sa paggamit ng just-in-time (JIT) compiler na idinisenyo para sa Lua programming language, na kilala bilang LuaJIT. Ang compiler na ito ay nagsisilbing sasakyan para sa pag-deploy ng bagong natuklasan na nagbabantang software, na tinutukoy bilang 'LuaDream.'
Napansin ng mga mananaliksik na ang mga naobserbahang aktibidad na ito ay minarkahan ng strategic lateral movement patungo sa partikular, maingat na piniling mga workstation, na may kaunting interaksyon. Ang gawi na ito ay nagmumungkahi ng isang kalkuladong diskarte na idinisenyo upang makamit ang mga partikular na layunin habang pinapaliit ang panganib ng pagtuklas. Ang presensya ng LuaDream ay higit na binibigyang-diin ang pagiging sopistikado ng operasyong ito, na nagpapahiwatig na ito ay isang mahusay na naisakatuparan, aktibong pinananatili, at patuloy na binuo na proyekto na may malaking sukat.
Ang Mga Cybercriminal sa Likod ng LuaDream ay Gumamit ng Isang Pambihirang Diskarte
Ang pagkakaroon ng mga string artifact sa loob ng source code ng implant ay tumuturo sa isang makabuluhang timeline, na may mga sanggunian na itinayo noong Hunyo 3, 2022, na nagmumungkahi na ang paghahanda para sa operasyong ito ay nagpapatuloy nang higit sa isang taon.
Ang proseso ng pagtatanghal ng LuaDream ay maingat na ginawa upang maiwasan ang pagtuklas at hadlangan ang pagsusuri, na nagbibigay-daan sa tuluy-tuloy na pag-deploy ng malware nang direkta sa memorya ng computer. Ang diskarte sa pagtatanghal na ito ay lubos na umaasa sa platform ng LuaJIT, na isang just-in-time na compiler na idinisenyo para sa Lua scripting language. Ang pangunahing layunin ay gawin itong mapaghamong tuklasin ang sirang Lua script code. May hinala na ang LuaDream ay maaaring kabilang sa isang bagong strain ng malware na kilala bilang DreamLand.
Ang paggamit ng malware na nakabase sa Lua ay medyo pambihira sa landscape ng pagbabanta, na may tatlong dokumentadong pagkakataon lang na naobserbahan mula noong 2012.
Ang LuaDream ay Nilagyan ng Potent Cyberespionage Capabilities
Ang mga umaatake ay naobserbahang nakikibahagi sa isang serye ng mga aktibidad, kabilang ang pagnanakaw ng mga kredensyal na pang-administratibo at pagsasagawa ng reconnaissance upang makalusot sa mga partikular na workstation ng interes. Ang kanilang pangunahing layunin ay i-deploy ang LuaDream.
Ang LuaDream ay isang modular, multi-protocol na backdoor na binubuo ng 13 pangunahing bahagi at 21 bahagi ng suporta. Ang pangunahing pag-andar nito ay upang i-exfiltrate ang parehong impormasyon ng system at user, bilang karagdagan sa pamamahala ng iba't ibang mga plugin na ibinigay ng attacker na nagpapahusay sa mga kakayahan nito, tulad ng command execution. Higit pa rito, isinasama ng LuaDream ang ilang mga mekanismo ng anti-debugging upang maiwasan ang pagtuklas at labanan ang pagsusuri.
Upang magtatag ng Command-and-Control (C2) na komunikasyon, ang LuaDream ay umaabot sa isang domain na pinangalanang "mode.encagil.com" gamit ang WebSocket protocol. Gayunpaman, mayroon din itong kakayahang tumanggap ng mga papasok na koneksyon sa pamamagitan ng TCP, HTTPS at QUIC na mga protocol.
Ang mga pangunahing module ay sumasaklaw sa lahat ng mga nabanggit na pag-andar. Kasabay nito, ang mga bahagi ng suporta ay gumaganap ng isang mahalagang papel sa pagpapalawak ng mga kakayahan ng backdoor, na nagbibigay-daan dito upang makinig para sa mga koneksyon batay sa Windows HTTP server API at magsagawa ng mga utos kung kinakailangan.
Ang LuaDream ay nagsisilbing isang kapansin-pansing halimbawa ng patuloy na pangako at katalinuhan na ipinapakita ng mga aktor ng pagbabanta ng cyber espionage habang patuloy nilang pinapaganda at pinipino ang kanilang arsenal ng mga tool at diskarte sa pagbabanta. Itinatampok nito ang pabago-bago at umuusbong na katangian ng mga banta sa cyber sa modernong tanawin, kung saan ang mga umaatake ay patuloy na nagsusumikap na manatiling nangunguna sa mga hakbang sa seguridad at mapanatili ang kanilang pagiging epektibo sa paglusot at pagkompromiso sa mga target na system.
