LucidRook kampány
A Cisco Talos egy új, célzott kiberkémkedési kampányt mutat be, amely mögött a UAT-10362 jelű fenyegető klaszter áll, és amely elsősorban tajvani NGO-kat és egyetemeket céloz. A támadási lánc alapja klasszikus spear-phishing, ahol a támadók legitimnek tűnő e-maileken keresztül juttatják el a payloadot, gyakran valós levelezési infrastruktúra visszaélésével, ami jelentősen növeli a hitelességet és csökkenti a detektálhatóságot.
A kampány központi eleme a LucidRook, egy Lua-alapú malware stager, amely egy DLL-be ágyazott Lua interpretert és Rust komponenseket használ. Ez lehetővé teszi, hogy a támadók dinamikusan letöltött Lua bytecode payloadokat futtassanak, így a végső kártékony funkciók csak futásidőben kerülnek a rendszerbe, minimalizálva az észlelési nyomokat.
A fertőzési lánc több variánsban jelenik meg, például LNK és EXE alapú dropper-ekkel, amelyek gyakran legitim szoftvernek álcázzák magukat. A kezdeti komponens (LucidPawn) környezet-specifikus anti-analysis technikákatalkalmaz, és csak hagyományos kínai nyelvi környezetben aktiválódik, ami erősen célzott műveletre utal.
A C2 infrastruktúra szempontjából a kampány különösen érdekes, mivel a támadók kompromittált FTP szervereket és OAST szolgáltatásokat használnak, így elkerülve a klasszikus C2 mintázatokat. Emellett azonosításra került egy kiegészítő eszköz, a LucidKnight, amely felderítési célokat szolgál, és például Gmail csatornán keresztül exfiltrál rendszerinformációkat. Ez egy többlépcsős, tiered toolkit jelenlétére utal, ahol a célpontok előzetes profilozása után történik a további kompromittáció.
A fő TTP-k közé tartozik a spear-phishing alapú kezdeti hozzáférés, felhasználói végrehajtás és script-alapú lánc (PowerShell, VBS), DLL sideloading és moduláris payload betöltés, valamint legitim szolgáltatások (FTP, Gmail) C2/exfiltration célú használata.
