🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um cluster de ameaças anteriormente não documentado chamado UAT-10362 foi atribuído a campanhas de spear-phishing direcionadas a organizações não governamentais (ONGs) taiwanesas e universidades suspeitas de implantar um novo malware baseado em Lua chamado LucidRook.
"O LucidRook é um stager sofisticado que incorpora um interpretador Lua e bibliotecas compiladas por Rust em uma biblioteca de vínculo dinâmico (DLL) para baixar e executar cargas úteis de bytecode Lua preparadas", disse Ashley Shen, pesquisadora do Cisco Talos.
A empresa de segurança cibernética disse que descobriu a atividade em outubro de 2025, com o ataque usando iscas de arquivos RAR ou 7-Zip para entregar um conta-gotas chamado LucidPawn, que então abre um arquivo isca e lança o LucidRook. Uma característica notável do conjunto de intrusão é o uso de carregamento lateral de DLL para executar LucidPawn e LucidRook.
Existem duas cadeias de infecção distintas que levam ao LucidRook, uma usando um arquivo de atalho do Windows (LNK) com um ícone PDF e outra envolvendo um executável que se disfarça como um programa antivírus da Trend Micro. A sequência inteira está listada abaixo -
Cadeia de infecção baseada em LNK - Quando o usuário clica no arquivo LNK, presumindo que seja um documento PDF, ele executa um script do PowerShell para executar um binário legítimo do Windows ("index.exe") presente no arquivo, que então carrega uma DLL maliciosa (ou seja, LucidPawn). O conta-gotas, por sua vez, mais uma vez emprega carregamento lateral de DLL para executar o LucidRook.
Cadeia de infecção baseada em EXE: quando o suposto programa da Trend Micro ("Cleanup.exe") no arquivo 7-Zip é iniciado, ele atua como um simples conta-gotas .NET que emprega carregamento lateral de DLL para executar o LucidRook. Após a execução, o binário exibe uma mensagem informando que o processo de limpeza foi concluído.
Uma DLL do Windows de 64 bits, LucidRook, é fortemente ofuscada para impedir análise e detecção. Sua funcionalidade é dupla: ele coleta informações do sistema e as exfiltra para um servidor externo e, em seguida, recebe uma carga útil de bytecode Lua criptografada para posterior descriptografia e execução na máquina comprometida usando o interpretador Lua 5.4.8 integrado.
"Em ambos os casos, o ator abusou de um serviço de teste de segurança de aplicativos (OAST) fora de banda e comprometeu servidores FTP para infraestrutura de comando e controle (C2)", disse Talos.
LucidPawn também implementa uma técnica de geofencing que consulta especificamente a linguagem da UI do sistema e continua a execução apenas se corresponder aos ambientes chineses tradicionais associados a Taiwan ("zh-TW"). Isso oferece vantagens duplas, pois limita a execução à região geográfica pretendida da vítima e evita ser sinalizado em sandboxes de análise comuns.
Além disso, foi descoberto que pelo menos uma variante do conta-gotas implanta uma DLL do Windows de 64 bits chamada LucidKnight, que é capaz de exfiltrar informações do sistema via Gmail para um endereço de e-mail temporário. A presença da ferramenta de reconhecimento junto com o LucidRook sugere que o adversário opera um kit de ferramentas em camadas, potencialmente usando o LucidKnight para traçar o perfil dos alvos antes de entregar o estágio do LucidRook.
Não se sabe muito sobre o UAT-10362 neste estágio, além do fato de que é provavelmente um agente de ameaça sofisticado cujas campanhas são direcionadas em vez de oportunistas, ao mesmo tempo que prioriza flexibilidade, discrição e tarefas específicas da vítima.
"O design modular multilíngue, os recursos anti-análise em camadas, o tratamento de carga útil do malware com foco furtivo e a dependência de infraestrutura pública ou comprometida indicam que o UAT-10362 é um ator de ameaça capaz com habilidade operacional madura", disse Talos.
"O LucidRook é um stager sofisticado que incorpora um interpretador Lua e bibliotecas compiladas por Rust em uma biblioteca de vínculo dinâmico (DLL) para baixar e executar cargas úteis de bytecode Lua preparadas", disse Ashley Shen, pesquisadora do Cisco Talos.
A empresa de segurança cibernética disse que descobriu a atividade em outubro de 2025, com o ataque usando iscas de arquivos RAR ou 7-Zip para entregar um conta-gotas chamado LucidPawn, que então abre um arquivo isca e lança o LucidRook. Uma característica notável do conjunto de intrusão é o uso de carregamento lateral de DLL para executar LucidPawn e LucidRook.
Existem duas cadeias de infecção distintas que levam ao LucidRook, uma usando um arquivo de atalho do Windows (LNK) com um ícone PDF e outra envolvendo um executável que se disfarça como um programa antivírus da Trend Micro. A sequência inteira está listada abaixo -
Cadeia de infecção baseada em LNK - Quando o usuário clica no arquivo LNK, presumindo que seja um documento PDF, ele executa um script do PowerShell para executar um binário legítimo do Windows ("index.exe") presente no arquivo, que então carrega uma DLL maliciosa (ou seja, LucidPawn). O conta-gotas, por sua vez, mais uma vez emprega carregamento lateral de DLL para executar o LucidRook.
Cadeia de infecção baseada em EXE: quando o suposto programa da Trend Micro ("Cleanup.exe") no arquivo 7-Zip é iniciado, ele atua como um simples conta-gotas .NET que emprega carregamento lateral de DLL para executar o LucidRook. Após a execução, o binário exibe uma mensagem informando que o processo de limpeza foi concluído.
Uma DLL do Windows de 64 bits, LucidRook, é fortemente ofuscada para impedir análise e detecção. Sua funcionalidade é dupla: ele coleta informações do sistema e as exfiltra para um servidor externo e, em seguida, recebe uma carga útil de bytecode Lua criptografada para posterior descriptografia e execução na máquina comprometida usando o interpretador Lua 5.4.8 integrado.
"Em ambos os casos, o ator abusou de um serviço de teste de segurança de aplicativos (OAST) fora de banda e comprometeu servidores FTP para infraestrutura de comando e controle (C2)", disse Talos.
LucidPawn também implementa uma técnica de geofencing que consulta especificamente a linguagem da UI do sistema e continua a execução apenas se corresponder aos ambientes chineses tradicionais associados a Taiwan ("zh-TW"). Isso oferece vantagens duplas, pois limita a execução à região geográfica pretendida da vítima e evita ser sinalizado em sandboxes de análise comuns.
Além disso, foi descoberto que pelo menos uma variante do conta-gotas implanta uma DLL do Windows de 64 bits chamada LucidKnight, que é capaz de exfiltrar informações do sistema via Gmail para um endereço de e-mail temporário. A presença da ferramenta de reconhecimento junto com o LucidRook sugere que o adversário opera um kit de ferramentas em camadas, potencialmente usando o LucidKnight para traçar o perfil dos alvos antes de entregar o estágio do LucidRook.
Não se sabe muito sobre o UAT-10362 neste estágio, além do fato de que é provavelmente um agente de ameaça sofisticado cujas campanhas são direcionadas em vez de oportunistas, ao mesmo tempo que prioriza flexibilidade, discrição e tarefas específicas da vítima.
"O design modular multilíngue, os recursos anti-análise em camadas, o tratamento de carga útil do malware com foco furtivo e a dependência de infraestrutura pública ou comprometida indicam que o UAT-10362 é um ator de ameaça capaz com habilidade operacional madura", disse Talos.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #uat10362 #tem #como #alvo #ongs #taiwanesas #com #malware #lucidrook #em #campanhas #de #spearphishing
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário