LuaDream Malware

Ein bisher unbekannter, aufstrebender Bedrohungsakteur mit dem Namen „Sandman“ wurde als Täter einer Reihe von Cyberangriffen identifiziert, die speziell auf Telekommunikationsanbieter in Regionen im Nahen Osten, Westeuropa und dem südasiatischen Subkontinent abzielten. Diese Cyberangriffe basieren auf der Verwendung eines Just-in-Time-Compilers (JIT), der für die Programmiersprache Lua entwickelt wurde und als LuaJIT bekannt ist. Dieser Compiler dient als Vehikel für die Bereitstellung neu entdeckter Bedrohungssoftware, die als „LuaDream“ bezeichnet wird.

Forscher haben festgestellt, dass diese beobachteten Aktivitäten durch strategische Querbewegungen zu bestimmten, sorgfältig ausgewählten Arbeitsplätzen mit minimaler Interaktion gekennzeichnet sind. Dieses Verhalten deutet auf einen kalkulierten Ansatz hin, der darauf abzielt, bestimmte Ziele zu erreichen und gleichzeitig das Entdeckungsrisiko zu minimieren. Die Präsenz von LuaDream unterstreicht die Raffinesse dieser Operation und zeigt, dass es sich um ein gut durchgeführtes, aktiv gepflegtes und kontinuierlich weiterentwickeltes Projekt von beträchtlichem Umfang handelt.

Die Cyberkriminellen hinter LuaDream haben einen seltenen Ansatz gewählt

Das Vorhandensein von String-Artefakten im Quellcode des Implantats weist auf einen bedeutenden Zeitrahmen hin, wobei die Hinweise bis zum 3. Juni 2022 zurückreichen, was darauf hindeutet, dass die Vorbereitungsarbeiten für diese Operation seit über einem Jahr andauern.

Der Staging-Prozess von LuaDream wurde sorgfältig entwickelt, um einer Erkennung zu entgehen und eine Analyse zu verhindern, wodurch die nahtlose Bereitstellung der Malware direkt im Computerspeicher ermöglicht wird. Diese Staging-Technik basiert stark auf der LuaJIT-Plattform, einem Just-in-Time-Compiler, der für die Skriptsprache Lua entwickelt wurde. Das Hauptziel besteht darin, die Erkennung des beschädigten Lua-Skriptcodes zu erschweren. Es besteht der Verdacht, dass LuaDream zu einer neuen Schadsoftware namens DreamLand gehört.

Der Einsatz von Lua-basierter Malware ist in der Bedrohungslandschaft eine relative Seltenheit; seit 2012 wurden nur drei dokumentierte Vorfälle beobachtet.

LuaDream ist mit leistungsstarken Cyberspionage-Fähigkeiten ausgestattet

Es wurde beobachtet, dass die Angreifer eine Reihe von Aktivitäten ausführten, darunter den Diebstahl von Verwaltungszugangsdaten und die Durchführung von Erkundungstouren, um bestimmte Arbeitsstationen von Interesse zu infiltrieren. Ihr ultimatives Ziel ist die Bereitstellung von LuaDream.

LuaDream ist eine modulare Multiprotokoll-Hintertür, die aus 13 Kernkomponenten und 21 Supportkomponenten besteht. Seine Hauptfunktion besteht darin, sowohl System- als auch Benutzerinformationen zu exfiltrieren und außerdem verschiedene von Angreifern bereitgestellte Plugins zu verwalten, die seine Fähigkeiten erweitern, wie z. B. die Befehlsausführung. Darüber hinaus verfügt LuaDream über mehrere Anti-Debugging-Mechanismen, um einer Erkennung zu entgehen und einer Analyse zu widerstehen.

Um eine Command-and-Control (C2)-Kommunikation aufzubauen, greift LuaDream über das WebSocket-Protokoll auf eine Domäne namens „mode.encagil.com“ zu. Es ist jedoch auch in der Lage, eingehende Verbindungen über die Protokolle TCP, HTTPS und QUIC zu akzeptieren.

Die Kernmodule umfassen alle oben genannten Funktionalitäten. Gleichzeitig spielen die Support-Komponenten eine entscheidende Rolle bei der Erweiterung der Fähigkeiten der Backdoor, indem sie es ihr ermöglichen, auf Basis der Windows-HTTP-Server-API auf Verbindungen zu lauschen und bei Bedarf Befehle auszuführen.

LuaDream ist ein bemerkenswertes Beispiel für das anhaltende Engagement und den Einfallsreichtum, den Cyberspionage-Bedrohungsakteure an den Tag legen, während sie ihr Arsenal an Bedrohungstools und -techniken kontinuierlich verbessern und verfeinern. Dies verdeutlicht die dynamische und sich weiterentwickelnde Natur von Cyber-Bedrohungen in der modernen Landschaft, in der Angreifer stets danach streben, den Sicherheitsmaßnahmen einen Schritt voraus zu sein und ihre Effektivität bei der Infiltration und Kompromittierung von Zielsystemen aufrechtzuerhalten.