LuaDream Malware

Một tác nhân đe dọa mới nổi, trước đây chưa được biết đến và có tên là 'Sandman', đã được xác định là thủ phạm đằng sau một loạt cuộc tấn công mạng nhắm mục tiêu cụ thể vào các nhà cung cấp dịch vụ viễn thông ở các khu vực trải dài khắp Trung Đông, Tây Âu và tiểu lục địa Nam Á. Những cuộc xâm nhập mạng này dựa vào việc sử dụng trình biên dịch đúng lúc (JIT) được thiết kế cho ngôn ngữ lập trình Lua, được gọi là LuaJIT. Trình biên dịch này đóng vai trò là phương tiện để triển khai phần mềm đe dọa mới được phát hiện, được gọi là 'LuaDream'.

Các nhà nghiên cứu đã lưu ý rằng những hoạt động được quan sát này được đánh dấu bằng sự chuyển động mang tính chiến lược theo chiều ngang hướng tới các khu vực làm việc cụ thể, được lựa chọn cẩn thận, với sự tương tác tối thiểu. Hành vi này gợi ý một cách tiếp cận có tính toán được thiết kế để đạt được các mục tiêu cụ thể đồng thời giảm thiểu rủi ro bị phát hiện. Sự hiện diện của LuaDream càng nhấn mạnh sự phức tạp của hoạt động này, cho thấy đây là một dự án được thực hiện tốt, được duy trì tích cực và phát triển liên tục với quy mô đáng kể.

Tội phạm mạng đằng sau LuaDream đã sử dụng một cách tiếp cận hiếm có

Sự hiện diện của các tạo phẩm dạng chuỗi trong mã nguồn của bộ cấy chỉ ra một mốc thời gian quan trọng, với các tham chiếu có từ ngày 3 tháng 6 năm 2022, cho thấy rằng công việc chuẩn bị cho hoạt động này đã diễn ra trong hơn một năm.

Quá trình dàn dựng LuaDream đã được xây dựng tỉ mỉ để tránh bị phát hiện và cản trở quá trình phân tích, cho phép triển khai liền mạch phần mềm độc hại trực tiếp vào bộ nhớ máy tính. Kỹ thuật dàn dựng này phụ thuộc rất nhiều vào nền tảng LuaJIT, một trình biên dịch đúng lúc được thiết kế cho ngôn ngữ tập lệnh Lua. Mục tiêu chính là làm cho việc phát hiện mã tập lệnh Lua bị hỏng trở nên khó khăn hơn. Có nghi ngờ rằng LuaDream có thể thuộc về một loại phần mềm độc hại mới có tên DreamLand.

Việc sử dụng phần mềm độc hại dựa trên Lua là tương đối hiếm trong bối cảnh mối đe dọa, chỉ có ba trường hợp được ghi nhận kể từ năm 2012.

LuaDream được trang bị khả năng gián điệp mạng mạnh mẽ

Những kẻ tấn công đã được quan sát thấy tham gia vào một loạt hoạt động, bao gồm đánh cắp thông tin quản trị và tiến hành trinh sát để xâm nhập vào các máy trạm cụ thể mà họ quan tâm. Mục tiêu cuối cùng của họ là triển khai LuaDream.

LuaDream là một cửa hậu đa giao thức, mô-đun bao gồm 13 thành phần cốt lõi và 21 thành phần hỗ trợ. Chức năng chính của nó là lọc cả thông tin hệ thống và người dùng, ngoài việc quản lý các plugin khác nhau do kẻ tấn công cung cấp nhằm nâng cao khả năng của nó, chẳng hạn như thực thi lệnh. Hơn nữa, LuaDream kết hợp một số cơ chế chống gỡ lỗi để tránh bị phát hiện và chống lại sự phân tích.

Để thiết lập giao tiếp Lệnh và Điều khiển (C2), LuaDream liên hệ với miền có tên "mode.encagil.com" bằng giao thức WebSocket. Tuy nhiên, nó cũng có khả năng chấp nhận các kết nối đến thông qua giao thức TCP, HTTPS và QUIC.

Các mô-đun cốt lõi bao gồm tất cả các chức năng nói trên. Đồng thời, các thành phần hỗ trợ đóng vai trò quan trọng trong việc mở rộng khả năng của backdoor, cho phép nó lắng nghe các kết nối dựa trên API máy chủ HTTP của Windows và thực thi các lệnh theo yêu cầu.

LuaDream đóng vai trò là một ví dụ đáng chú ý về cam kết liên tục và sự khéo léo được thể hiện bởi các tác nhân đe dọa gián điệp mạng khi họ liên tục nâng cao và cải tiến kho công cụ và kỹ thuật đe dọa của mình. Điều này nêu bật tính chất năng động và ngày càng phát triển của các mối đe dọa mạng trong bối cảnh hiện đại, nơi những kẻ tấn công luôn cố gắng đi trước các biện pháp an ninh và duy trì tính hiệu quả của chúng trong việc xâm nhập và xâm phạm các hệ thống mục tiêu.