LuaDream Kötü Amaçlı Yazılım

Daha önce bilinmeyen ve 'Sandman' olarak adlandırılan, yeni ortaya çıkan bir tehdit aktörünün, özellikle Orta Doğu, Batı Avrupa ve Güney Asya alt kıtasını kapsayan bölgelerdeki telekomünikasyon sağlayıcılarını hedef alan bir dizi siber saldırının faili olduğu belirlendi. Bu siber saldırılar, LuaJIT olarak bilinen Lua programlama dili için tasarlanmış bir tam zamanında (JIT) derleyicinin kullanımına dayanır. Bu derleyici, 'LuaDream' olarak adlandırılan, yeni keşfedilen tehdit edici yazılımın dağıtımı için bir araç görevi görür.

Araştırmacılar, gözlemlenen bu faaliyetlerin, minimum düzeyde etkileşimle, dikkatle seçilmiş iş istasyonlarına doğru stratejik yanal hareketlerle işaretlendiğini belirtti. Bu davranış, tespit riskini en aza indirirken belirli hedeflere ulaşmak için tasarlanmış hesaplanmış bir yaklaşımı önerir. LuaDream'in varlığı, bu operasyonun karmaşıklığını daha da vurguluyor; bu da bunun iyi yürütülen, aktif olarak sürdürülen ve sürekli geliştirilen önemli ölçekte bir proje olduğunu gösteriyor.

LuaDream'in Arkasındaki Siber Suçlular Nadir Bir Yaklaşım Kullandı

İmplantın kaynak kodunda sicim eserlerinin varlığı, 3 Haziran 2022'ye kadar uzanan referanslarla önemli bir zaman çizelgesine işaret ediyor ve bu operasyon için hazırlık çalışmalarının bir yıldan fazla süredir devam ettiğini gösteriyor.

LuaDream hazırlama süreci, tespit edilmekten kaçınmak ve analizi engellemek için titizlikle hazırlanmış olup, kötü amaçlı yazılımın doğrudan bilgisayar belleğine sorunsuz bir şekilde dağıtılmasına olanak tanır. Bu hazırlama tekniği büyük ölçüde Lua kodlama dili için tasarlanmış tam zamanında bir derleyici olan LuaJIT platformuna dayanır. Birincil amaç, bozuk Lua komut dosyası kodunun tespit edilmesini zorlaştırmaktır. LuaDream'in DreamLand olarak bilinen yeni bir kötü amaçlı yazılım türüne ait olabileceğine dair şüpheler var.

Lua tabanlı kötü amaçlı yazılımların kullanımı, tehdit ortamında nispeten nadir görülen bir durum; 2012'den bu yana yalnızca üç belgelenmiş örnek gözlemlendi.

LuaDream Güçlü Siber Casusluk Yetenekleriyle Donatılmıştır

Saldırganların, idari kimlik bilgilerinin çalınması ve ilgilenilen belirli iş istasyonlarına sızmak için keşif yapılması da dahil olmak üzere bir dizi faaliyette bulundukları gözlemlendi. Nihai hedefleri LuaDream'i dağıtmak.

LuaDream, 13 temel bileşen ve 21 destek bileşeninden oluşan modüler, çok protokollü bir arka kapıdır. Birincil işlevi, komut yürütme gibi yeteneklerini artıran, saldırgan tarafından sağlanan çeşitli eklentileri yönetmenin yanı sıra hem sistem hem de kullanıcı bilgilerini sızdırmaktır. Ayrıca LuaDream, tespitten kaçınmak ve analize direnmek için çeşitli hata ayıklama önleme mekanizmaları içerir.

Komuta ve Kontrol (C2) iletişimi kurmak için LuaDream, WebSocket protokolünü kullanarak "mode.encagil.com" adlı bir alana ulaşır. Ancak aynı zamanda TCP, HTTPS ve QUIC protokolleri üzerinden gelen bağlantıları kabul etme yeteneğine de sahiptir.

Çekirdek modüller yukarıda belirtilen işlevlerin tümünü kapsar. Aynı zamanda destek bileşenleri, arka kapının yeteneklerinin genişletilmesinde önemli bir rol oynayarak Windows HTTP sunucusu API'sine dayalı bağlantıları dinlemesine ve gerektiğinde komutları yürütmesine olanak tanır.

LuaDream, tehdit edici araç ve tekniklerden oluşan cephaneliğini sürekli olarak geliştirip hassaslaştıran siber casusluk tehdit aktörlerinin sergilediği sürekli kararlılığın ve yaratıcılığın kayda değer bir örneği olarak hizmet ediyor. Bu, saldırganların sürekli olarak güvenlik önlemlerinin önünde kalmaya ve hedef sistemlere sızma ve bu sistemleri tehlikeye atma konusundaki etkinliklerini sürdürmeye çalıştıkları modern ortamda siber tehditlerin dinamik ve gelişen doğasını vurgulamaktadır.