LuaDream 惡意軟體

一個以前不為人知、名為「桑德曼」的新興威脅行為者已被確定為一系列網路攻擊的幕後黑手，這些攻擊專門針對中東、西歐和南亞次大陸地區的電信提供商。這些網路入侵依賴於使用專為 Lua 程式語言設計的即時 (JIT) 編譯器，稱為 LuaJIT。此編譯器可作為部署新發現的威脅軟體（稱為「LuaDream」）的工具。

研究人員指出，這些觀察到的活動的特點是策略性地橫向移動到特定的、精心挑選的工作站，而互動最少。這種行為表明了一種經過計算的方法，旨在實現特定目標，同時最大限度地降低被發現的風險。 LuaDream的出現進一步凸顯了該操作的複雜性，表明它是一個執行良好、積極維護、持續開發的具有相當規模的專案。

LuaDream 背後的網路犯罪分子使用了一種罕見的方法

植入原始碼中字串工件的存在表明了一個重要的時間線，參考日期可以追溯到 2022 年 6 月 3 日，這表明該操作的準備工作已經持續了一年多。

LuaDream 暫存流程經過精心設計，可逃避偵測並阻礙分析，從而能夠將惡意軟體直接無縫部署到電腦記憶體中。這種暫存技術在很大程度上依賴 LuaJIT 平台，該平台是專為 Lua 腳本語言設計的即時編譯器。主要目標是增加檢測損壞的 Lua 腳本程式碼的難度。有人懷疑 LuaDream 可能屬於一種名為 DreamLand 的新型惡意軟體。

基於 Lua 的惡意軟體的使用在威脅領域相對較少，自 2012 年以來僅觀察到三個有記錄的實例。

LuaDream 具備強大的網路間諜功能

據觀察，攻擊者參與了一系列活動，包括竊取管理憑證以及進行偵察以滲透到感興趣的特定工作站。他們的最終目標是部署 LuaDream。

LuaDream是一個模組化的多重協定後門，由13個核心組件和21個支援組件組成。它的主要功能是竊取系統和用戶信息，此外還管理攻擊者提供的各種插件來增強其功能，例如命令執行。此外，LuaDream 還結合了多種反調試機制來逃避檢測和抵抗分析。

為了建立命令與控制 (C2) 通信，LuaDream 使用 WebSocket 協定存取名為「mode.encagil.com」的網域。但是，它還能夠透過 TCP、HTTPS 和 QUIC 協定接受傳入連線。

核心模組包含上述所有功能。同時，支援元件在擴展後門的功能方面發揮著至關重要的作用，使其能夠監聽基於Windows HTTP伺服器API的連接並根據需要執行命令。

LuaDream 是網路間諜威脅行為者在不斷增強和完善其威脅工具和技術庫時所表現出的持續承諾和獨創性的一個值得注意的例子。這突顯了現代環境中網路威脅的動態和不斷演變的性質，攻擊者始終努力領先安全措施，並保持其滲透和破壞目標系統的有效性。