Az új LucidRook kártevő tajvani NGO-kat és egyetemeket támad

Célzott támadások és becsapós dokumentumok

A támadások során kormányzati levélnek álcázott dokumentumokkal próbálják félrevezetni az áldozatokat, azt a látszatot keltve, mintha hivatalos üzenetet kaptak volna. A támadók gyakorlott módszerekkel dolgoznak: a telepített LucidPawn képes egy átnevezett, legitim Microsoft Edge-fájlt és egy DismCore.dll nevű rosszindulatú fájlt futtatni. Utóbbi tartalmazza a LucidRook-modult, amely szokatlan modularitásának és beépített Lua-futtatókörnyezetének köszönhetően egyszerűen frissíthető, így a támadók további eszközöket és funkciókat tudnak hozzáadni anélkül, hogy a fő kártevőt módosítanák.

Láthatatlan támadók és fejlett technológiák

Ennek következtében a LucidRook nehezebben visszakövethető: erősen obfuszkálták a kódot, a fájlneveket, a belső azonosítókat és a C2-kiszolgálókat, hogy a visszafejtők dolgát alaposan megnehezítsék. A kártékony kód végrehajtása közben rendszerinformációkat gyűjt – például felhasználó- és számítógépnevet, telepített alkalmazásokat, futó folyamatokat –, ezeket RSA-algoritmussal titkosítja, jelszóval védett archívumba menti, majd FTP-n keresztül továbbítja a támadók kiszolgálóira.

Újabb eszközök a támadók kezében

A nyomozás során egy LucidKnight nevű, valószínűleg felderítésre használt eszköz is előkerült, amelynek sajátossága, hogy a Gmail szolgáltatásán keresztül is képes adatot kicsempészni. A támadók rugalmasságát és alkalmazkodóképességét mutatja, hogy többféle módszert használnak a céljaik elérésére. Bár a támadások célzottak, az elemzők nem tudták pontosan beazonosítani, milyen további műveleteket hajt végre a LucidRook a megfertőzött gépeken. A meglepetések sora itt nem áll meg.

2026, adrienne, www.bleepingcomputer.com alapján