LuaDream Malware

Нову загрозу, раніше невідому на ім’я «Пісочна людина», було ідентифіковано як виконавця серії кібератак, спрямованих спеціально на телекомунікаційних провайдерів у регіонах, що охоплюють Близький Схід, Західну Європу та південноазіатський субконтинент. Ці кібервторгнення покладаються на використання компілятора «точно вчасно» (JIT), розробленого для мови програмування Lua, відомої як LuaJIT. Цей компілятор служить засобом для розгортання нещодавно виявленого загрозливого програмного забезпечення, яке називається «LuaDream».

Дослідники відзначили, що ці дії, що спостерігаються, відзначаються стратегічним боковим рухом до конкретних, ретельно відібраних робочих станцій з мінімальною взаємодією. Така поведінка свідчить про розрахований підхід, розроблений для досягнення конкретних цілей, мінімізуючи ризик виявлення. Наявність LuaDream ще більше підкреслює складність цієї операції, вказуючи на те, що це добре виконаний, активно підтримуваний і постійно розвивається проект значного масштабу.

Кіберзлочинці, що стоять за LuaDream, використали рідкісний підхід

Наявність рядкових артефактів у вихідному коді імплантату вказує на значний часовий проміжок із посиланнями на 3 червня 2022 року, що свідчить про те, що підготовча робота до цієї операції тривала більше року.

Процес постановки LuaDream був ретельно розроблений, щоб уникнути виявлення та перешкодити аналізу, забезпечуючи безпроблемне розгортання шкідливого програмного забезпечення безпосередньо в пам’яті комп’ютера. Ця техніка постановки значною мірою покладається на платформу LuaJIT, яка є своєчасним компілятором, розробленим для мови сценаріїв Lua. Основна мета полягає в тому, щоб ускладнити виявлення пошкодженого коду сценарію Lua. Існує підозра, що LuaDream може належати до нового типу шкідливих програм, відомого як DreamLand.

Використання зловмисного програмного забезпечення на основі Lua є відносною рідкістю в середовищі загроз: з 2012 року було зафіксовано лише три задокументовані випадки.

LuaDream оснащено потужними можливостями кібершпигунства

Було помічено, що зловмисники брали участь у серії дій, включаючи крадіжку облікових даних адміністратора та проведення розвідки для проникнення на конкретні робочі станції, що представляють інтерес. Їхня кінцева мета — розгорнути LuaDream.

LuaDream — це модульний багатопротокольний бекдор, що складається з 13 основних компонентів і 21 компонента підтримки. Його основною функцією є вилучення як системної, так і користувацької інформації, на додаток до керування різними плагінами, наданими зловмисниками, які покращують його можливості, наприклад виконання команд. Крім того, LuaDream містить кілька механізмів захисту від помилок, щоб уникнути виявлення та протистояти аналізу.

Щоб встановити зв’язок командування та керування (C2), LuaDream звертається до домену під назвою «mode.encagil.com» за допомогою протоколу WebSocket. Однак він також має можливість приймати вхідні з’єднання через протоколи TCP, HTTPS і QUIC.

Основні модулі охоплюють усі вищезгадані функції. У той же час компоненти підтримки відіграють вирішальну роль у розширенні можливостей бекдору, дозволяючи йому прослуховувати з’єднання на основі API HTTP-сервера Windows і виконувати команди за потреби.

LuaDream служить яскравим прикладом постійної відданості та винахідливості, які виявляють учасники загроз кібершпигунства, оскільки вони постійно покращують і вдосконалюють свій арсенал інструментів і методів погроз. Це підкреслює динамічний і розвивається характер кіберзагроз у сучасному ландшафті, де зловмисники постійно прагнуть випереджати заходи безпеки та підтримувати їхню ефективність у проникненні та скомпрометуванні цільових систем.