Новое вредоносное ПО на базе Lua под названием LucidRook используется в кампаниях целенаправленного фишинга, нацеленных на неправительственные организации и университеты на Тайване.
Исследователи Cisco Talos связывают вредоносное ПО с группой угроз, отслеживаемой внутри компании как UAT-10362, которую они описывают как способного противника «с отработанными методами действий».
LucidRook был замечен в атаках в октябре 2025 года, которые основывались на фишинговых электронных письмах с архивами, защищенными паролем.
Исследователи выявили две цепочки заражения: одна использовала файл ярлыка LNK, который в конечном итоге доставлял дроппер вредоносного ПО под названием LucidPawn, а другая, основанная на EXE, использовала поддельный исполняемый файл антивируса, маскирующийся под Trend Micro Worry-Free Business Security Services.
Атака на основе LNK использует вводящие в заблуждение документы, такие как правительственные письма, созданные так, чтобы выглядеть исходящими от правительства Тайваня, чтобы отвлечь внимание пользователя.
Cisco Talos обнаружила, что LucidPawn расшифровывает и развертывает легитимный исполняемый файл, переименованный для имитации Microsoft Edge, вместе с вредоносной DLL (DismCore.dll) для боковой загрузки LucidRook.
LucidRook примечателен своей модульной конструкцией и встроенной средой выполнения Lua, которая позволяет ему извлекать и выполнять полезные нагрузки второго этапа в виде байт-кода Lua.
Такой подход позволяет операторам обновлять функциональность без изменения основного вредоносного ПО, одновременно ограничивая возможности криминалистического анализа. Скрытность дополнительно повышается за счет обширного обфусцирования кода.
«Встраивание интерпретатора Lua фактически превращает нативную DLL в стабильную платформу выполнения, позволяя злоумышленнику обновлять или настраивать поведение для каждой цели или кампании путем обновления полезной нагрузки байт-кода Lua с помощью более легкого и гибкого процесса разработки», — объясняет Cisco Talos.
«Этот подход также повышает операционную безопасность, поскольку этап Lua может размещаться лишь краткосрочно и удаляться из C2 после доставки, а также может затруднить реконструкцию инцидента, когда защитники восстанавливают только загрузчик без внешне доставленной полезной нагрузки Lua».
Talos также отмечает, что бинарный файл сильно обфусцирован в строках, расширениях файлов, внутренних идентификаторах и адресах C2, что усложняет любые попытки обратной разработки.
Во время своего выполнения LucidRook проводит разведку системы, собирая такую информацию, как имена пользователей и компьютеров, установленные приложения и запущенные процессы.
Данные шифруются с помощью RSA, сохраняются в архивах, защищенных паролем, и эксфильтруются на инфраструктуру, контролируемую злоумышленниками, через FTP.
При изучении LucidRook исследователи Talos обнаружили связанный инструмент под названием «LucidKnight», который, вероятно, используется для разведки.
Одной из примечательных характеристик LucidKnight является злоупотребление Gmail GMTP для эксфильтрации собранных данных, что указывает на то, что UAT-10362 располагает гибким набором инструментов для удовлетворения различных операционных потребностей.
Cisco Talos с умеренной уверенностью заключает, что атаки LucidRook являются частью целенаправленной кампании вторжения. Однако им не удалось перехватить расшифровываемый байт-код Lua, извлекаемый LucidRook, поэтому конкретные действия, предпринимаемые после заражения, неизвестны.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
