LuaDream 恶意软件

一个以前不为人知、名为“桑德曼”的新兴威胁行为者已被确定为一系列网络攻击的幕后黑手，这些攻击专门针对中东、西欧和南亚次大陆地区的电信提供商。这些网络入侵依赖于使用专为 Lua 编程语言设计的即时 (JIT) 编译器，称为 LuaJIT。该编译器充当部署新发现的威胁软件（称为“LuaDream”）的工具。

研究人员指出，这些观察到的活动的特点是战略性地横向移动到特定的、精心挑选的工作站，而互动最少。这种行为表明了一种经过计算的方法，旨在实现特定目标，同时最大限度地降低被发现的风险。 LuaDream的出现进一步凸显了该操作的复杂性，表明它是一个执行良好、积极维护、持续开发的具有相当规模的项目。

LuaDream 背后的网络犯罪分子使用了一种罕见的方法

植入源代码中字符串工件的存在表明了一个重要的时间线，参考日期可以追溯到 2022 年 6 月 3 日，这表明该操作的准备工作已经持续了一年多。

LuaDream 暂存过程经过精心设计，可以逃避检测并阻碍分析，从而能够将恶意软件直接无缝部署到计算机内存中。这种暂存技术在很大程度上依赖于 LuaJIT 平台，该平台是专为 Lua 脚本语言设计的即时编译器。主要目标是增加检测损坏的 Lua 脚本代码的难度。有人怀疑 LuaDream 可能属于一种名为 DreamLand 的新型恶意软件。

基于 Lua 的恶意软件的使用在威胁领域相对较少，自 2012 年以来仅观察到三个有记录的实例。

LuaDream 具备强大的网络间谍功能

据观察，攻击者参与了一系列活动，包括窃取管理凭据以及进行侦察以渗透到感兴趣的特定工作站。他们的最终目标是部署 LuaDream。

LuaDream是一个模块化的多协议后门，由13个核心组件和21个支持组件组成。它的主要功能是窃取系统和用户信息，此外还管理攻击者提供的各种插件来增强其功能，例如命令执行。此外，LuaDream 还结合了多种反调试机制来逃避检测和抵抗分析。

为了建立命令与控制 (C2) 通信，LuaDream 使用 WebSocket 协议访问名为“mode.encagil.com”的域。但是，它还能够通过 TCP、HTTPS 和 QUIC 协议接受传入连接。

核心模块包含上述所有功能。同时，支持组件在扩展后门的功能方面发挥着至关重要的作用，使其能够监听基于Windows HTTP服务器API的连接并根据需要执行命令。

LuaDream 是网络间谍威胁行为者在不断增强和完善其威胁工具和技术库时所表现出的持续承诺和独创性的一个值得注意的例子。这突显了现代环境中网络威胁的动态和不断演变的性质，攻击者始终努力领先于安全措施，并保持其渗透和破坏目标系统的有效性。