Descoberta e escopo da campanha
Um novo malware sofisticado, identificado como LucidRook, foi detectado atacando organizações em Taiwan, escondendo-se dentro do que aparenta ser software de segurança legítimo. Os atacantes se esforçaram para tornar a falsificação convincente, forjando o ícone e o nome do aplicativo de um produto de cibersegurança bem conhecido para enganar as vítimas e fazê-las executá-lo. A campanha foca em organizações não governamentais taiwanesas e universidades suspeitas, utilizando e-mails de spearphishing contendo URLs encurtadas que levam a arquivos compactados protegidos por senha.
Um dos documentos isca dentro do arquivo era uma carta oficial emitida pelo governo taiwanês para universidades, um anzol que adicionava credibilidade ao ataque. O e-mail e todos os materiais isca foram escritos em chinês tradicional, sugerindo que a campanha foi deliberadamente direcionada a um público taiwanês. Pesquisadores da Cisco Talos descobriram a atividade após identificar um cluster de ataques atribuídos a um grupo de ameaças rastreado como UT.
Arquitetura técnica e engenharia do malware
O LucidRook destaca-se por sua arquitetura baseada em Lua e design em camadas. A descoberta revelou que o LucidRook é um stager sofisticado que incorpora um interpretador Lua junto com bibliotecas compiladas em Rust dentro de um DLL do Windows. O que separa esta campanha da distribuição típica de malware é o nível de esforço colocado tanto na decepção quanto na engenharia. Ao lado do LucidRook, os pesquisadores também identificaram uma ferramenta de reconhecimento companheira chamada LucidNight.
Sua presença sugere que o ator de ameaça opera um kit de ferramentas em camadas, provavelmente usando o LucidNight para perfilar os alvos antes de se comprometer com uma implantação completa de malware. A Cisco Talos avalia com confiança média que esta atividade reflete uma intrusão direcionada, em vez de malware oportunista se espalhando. A infecção começa com um e-mail de spearphishing que guia a vítima para baixar um arquivo compactado protegido por senha.
Mecanismo de infecção e persistência
O dropper, denominado LucidPan, disfarça-se como um produto de segurança da Trend Micro, com um ícone e nome de aplicativo forjados. Ele também solta documentos isca, incluindo uma carta emitida pelo governo enviada para universidades taiwanesas, para manter a vítima distraída enquanto a cadeia maliciosa executa silenciosamente em segundo plano. Uma vez no sistema, o LucidPan abusa de um binário legítimo do Windows associado ao framework de serviço e gerenciamento de imagem de implantação (DISM).
Ele explora o hijacking da ordem de busca de DLL, soltando o DismCore.dll — o stager LucidRook — em um diretório oculto ao lado do executável legítimo index.exe. Quando a vítima clica no arquivo LNK disfarçado, ele aciona o index.exe, que carrega então o DismCore.dll malicioso. A persistência é estabelecida através de um arquivo LNK colocado na pasta de inicialização do Windows, que inicia o msedge.exe após os binários serem soltos, impersonando o Microsoft Edge para se misturar à atividade normal do sistema.
Coleta de dados e comunicação C2
Antes de entrar em contato com sua infraestrutura de comando e controle, o LucidRook coleta o nome de usuário, nome do computador, detalhes da unidade, processos em execução e software instalado. Esses dados são armazenados em três arquivos criptografados — 1.bin, 2.bin e 3.bin — embalados em um arquivo protegido por senha usando chaves RSA. O stager então se comunica com servidores FTP comprometidos operados por empresas de impressão taiwanesas cujas credenciais foram listadas publicamente em seus sites, enviando os dados coletados e recuperando um payload de bytecode Lua criptografado.
Para se proteger ainda mais contra análise, o LucidRook aplica um modo seguro não padrão que desativa o carregamento de bibliotecas dinâmicas e emprega um esquema de ofuscação de strings usando uma tabela de consulta paralela para ocultar strings incorporadas em tempo de execução. A Cisco Talos publicou indicadores de comprometimento (IOCs) em seu repositório GitHub para ajudar os defensores a identificar esta ameaça.
Medidas de mitigação recomendadas
As organizações são aconselhadas a aplicar filtragem de e-mail rigorosa para capturar tentativas de spearphishing, monitorar atividades incomuns de sideloading de DLL e processos iniciados a partir de %APPDATA%, proteger servidores FTP para evitar exposição de credenciais e implantar as regras de detecção Snort liberadas pela Cisco Talos que cobrem LucidRook, LucidPan e componentes relacionados. A análise forense deve focar em arquivos LNK na pasta de inicialização e processos que carregam DLLs de diretórios ocultos.
Perguntas frequentes
- Qual é o vetor principal de ataque? Spearphishing com arquivos compactados protegidos por senha.
- Como o malware se disfarça? Como um produto de segurança da Trend Micro.
- Qual é o objetivo final? Coleta de dados e execução de payloads Lua criptografados.