Σύμφωνα με πρόσφατες αναφορές, ένα νέο κακόβουλο λογισμικό με την ονομασία LucidRook έχει αρχίσει να στοχεύει οργανισμούς στην Ταϊβάν, με στόχο ιδιαίτερα μη κυβερνητικές οργανώσεις και πανεπιστήμια. Οι επιτιθέμενοι χρησιμοποιούν παραπλανητικούς μηχανισμούς, όπου το κακόβουλο λογισμικό κρύβεται πίσω από όψεις που θέλουν να φαίνονται ως έγκυρες εφαρμογές ασφαλείας.
Μέθοδος Επίθεσης
Η επιχείρηση των επιτιθέμενων φαίνεται να περιλαμβάνει τη χρήση μηνυμάτων ψαρέματος (spear phishing), στα οποία περιλαμβάνονται συντομευμένα URL που οδηγούν σε συμπιεσμένα αρχεία με κωδικό πρόσβασης. Ένα από τα απατηλά έγγραφα είναι μια επίσημη επιστολή από την κυβέρνηση της Ταϊβάν, η οποία προσθέτει εμπιστοσύνη στις επιθέσεις.
Όλα τα υλικά που χρησιμοποιούνται στην επίθεση είναι γραμμένα στα παραδοσιακά κινέζικα, γεγονός που υποδηλώνει ότι οι επιτιθέμενοι έχουν στόχο μια συγκεκριμένη ομάδα στην Ταϊβάν.
Στρατηγική Απόκρυψης
Η στρατηγική των επιτιθέμενων περιλαμβάνει την πλαστογραφία της εικόνας και του ονόματος γνωστών προϊόντων ασφαλείας, όπως η Trend Micro, ώστε να παραπλανήσουν τα θύματα ώστε να εκτελέσουν το κακόβουλο λογισμικό. Η εικονική πραγματικότητα τους καθιστά δύσκολη την αναγνώριση του πραγματικού κινδύνου.
Κακόβουλο Λογισμικό LucidRook
Αυτό το κακόβουλο λογισμικό χαρακτηρίζεται από την αρχιτεκτονική του που βασίζεται στο Lua και σχεδιάζεται για να διαχειρίζεται πολυάριθμες επιθέσεις. Λέγεται ότι οι επιτιθέμενοι χρησιμοποιούν πρώτα το LucidNight, ένα εργαλείο αναγνώρισης που συλλέγει πληροφορίες σχετικά με τα θύματα πριν πραγματοποιηθεί η εγκατάσταση του LucidRook.
Τεχνική Εισαγωγής
Η επίθεση ξεκινά με την αποστολή ενός email σε θύματα, καλώντας τα να κατεβάσουν ένα προστατευμένο με κωδικό αρχείο που μεταμφιέζεται σε νόμιμο προϊόν ασφαλείας. Όταν το θύμα εκτελεί το αρχείο, ενεργοποιείται ένα προσωρινό εκτελέσιμο αρχείο που αποθηκεύει το κακόβουλο συστατικό, γνωστό ως DismCore.dll, σε έναν κρυφό κατάλογο.
Μόλυνση και Επιμονή
Αφού εισάγεται το κακόβουλο λογισμικό, χρησιμοποιεί νόμιμες δυνατότητες των Windows για να εγκατασταθεί και να διασφαλίσει ότι δεν θα ανιχνευθεί. Η εκκίνηση του LucidRook προχωρά μέσω αρχείων και επιδιώκει να επικοινωνήσει με παραβιασμένες υποδομές, εξάγοντας κλεμμένα δεδομένα και εκτελώντας πρόσθετα προγράμματα με κωδικοποιημένα payloads.
Μέτρα Προστασίας
Η Cisco Talos έχει εκδώσει δείκτες συμβιβασμού για να βοηθήσει τους οργανισμούς να εντοπίσουν και να αποκλείσουν την απειλή LucidRook. Προτείνεται στους οργανισμούς να:
- Εφαρμόζουν αυστηρό φιλτράρισμα email για την αποτροπή επιθέσεων phishing.
- Παρακολουθούν οδηγίες για ασυνήθιστη δραστηριότητα στο σύστημα.
- Ελέγχουν τα διαπιστευτήρια των διακομιστών FTP ώστε να διασφαλίζουν τα απαραίτητα επίπεδα ασφαλείας.
- Χρησιμοποιούν κανόνες ανίχνευσης Snort που κυκλοφορούν για την ανίχνευση των στοιχείων που σχετίζονται με το LucidRook.
Η επαγρύπνηση μπορεί να διασφαλίσει την προστασία από τέτοιες εξελιγμένες επιθέσεις και η καλή ενημέρωση των χρηστών είναι κλειδί για την αποδοτική διαχείριση της κυβερνοασφάλειας.
