LuaDream マルウェア

これまで知られていなかった「サンドマン」という名前の新興の脅威アクターが、中東、西ヨーロッパ、南アジア亜大陸にまたがる地域の電気通信プロバイダーを特に標的にした一連のサイバー攻撃の実行犯として特定されました。これらのサイバー侵入は、LuaJIT として知られる、Lua プログラミング言語用に設計されたジャストインタイム (JIT) コンパイラーの利用に依存しています。このコンパイラは、「LuaDream」と呼ばれる、新たに発見された脅威的なソフトウェアを展開する手段として機能します。

研究者らは、観察されたこれらの活動は、最小限の相互作用で、慎重に選択された特定のワークステーションに向かう戦略的な横方向の移動によって特徴づけられると指摘しています。この動作は、検出のリスクを最小限に抑えながら特定の目的を達成するために設計された計算されたアプローチを示唆しています。 LuaDream の存在は、この操作の洗練さをさらに強調し、これが適切に実行され、積極的に維持され、継続的に開発されているかなりの規模のプロジェクトであることを示しています。

LuaDream の背後にあるサイバー犯罪者は珍しい手法を使用しています

インプラントのソース コード内に文字列アーティファクトが存在することは、2022 年 6 月 3 日に遡る参照を伴う重要なタイムラインを示しており、この操作の準備作業が 1 年以上継続していたことを示唆しています。

LuaDream のステージング プロセスは、検出を回避して分析を妨げるように細心の注意を払って作成されており、マルウェアをコンピュータ メモリに直接シームレスに展開できるようになります。このステージング手法は、Lua スクリプト言語用に設計されたジャストインタイム コンパイラである LuaJIT プラットフォームに大きく依存しています。主な目的は、破損した Lua スクリプト コードの検出を困難にすることです。 LuaDream は DreamLand として知られる新種のマルウェアに属しているのではないかという疑いがあります。

Lua ベースのマルウェアの使用は、脅威の世界では比較的まれであり、2012 年以降に観察された文書化された事例は 3 件のみです。

LuaDream は強力なサイバースパイ機能を備えています

攻撃者は、管理者資格情報の盗難や、対象となる特定のワークステーションに侵入するための偵察など、一連の活動に従事していることが観察されています。彼らの最終的な目標は、LuaDream を導入することです。

LuaDream は、13 のコア コンポーネントと 21 のサポート コンポーネントで構成されるモジュール式のマルチプロトコル バックドアです。その主な機能は、コマンド実行などの機能を強化する攻撃者が提供するさまざまなプラグインを管理することに加えて、システム情報とユーザー情報の両方を窃取することです。さらに、LuaDream には、検出を回避し、分析に抵抗するために、いくつかのデバッグ防止メカニズムが組み込まれています。

コマンド アンド コントロール (C2) 通信を確立するために、LuaDream は WebSocket プロトコルを使用して「mode.encagil.com」という名前のドメインにアクセスします。ただし、TCP、HTTPS、および QUIC プロトコルを介して受信接続を受け入れる機能もあります。

コア モジュールには、前述の機能がすべて含まれています。同時に、サポート コンポーネントはバックドアの機能を拡張する上で重要な役割を果たし、バックドアが Windows HTTP サーバー API に基づいて接続をリッスンし、必要に応じてコマンドを実行できるようにします。

LuaDream は、サイバースパイ活動の脅威アクターが継続的に脅威ツールと技術の武器を強化し洗練させている、継続的な取り組みと創意工夫の注目に値する例として機能します。これは、現代の状況におけるサイバー脅威の動的かつ進化する性質を浮き彫りにしており、攻撃者は常にセキュリティ対策の先を行き、標的システムに侵入して侵害する有効性を維持しようと努めています。