تم الكشف عن برمجية خبيثة جديدة تعرف باسم LucidRook تستهدف منظمات في تايوان، وتتخفى في هيئة برامج أمنية شرعية. وقد استغل المهاجمون التصميم الموثوق لهذه البرامج لخداع المستخدمين وتثبيت البرنامج الضار.
تتركز حملات المهاجمين حالياً على منظمات غير حكومية جامعية في تايوان، حيث يعمدون إلى إرسال رسائل بريد إلكتروني احتيالية تحتوي على روابط مختصرة تؤدي إلى أرشيفات محمية بكلمة مرور.
وقد تضمنت إحدى الوثائق المزيفة رسالة رسمية صادرة عن الحكومة التايوانية موجهة إلى الجامعات، مما أضفى مصداقية على الهجوم. كما تم إعداد كافة المواد باللغة الصينية التقليدية، مما يشير إلى استهداف متعمد للسكان في تايوان.
جاء اكتشاف هذه التهديدات بعد رصد باحثين في Cisco Talos لمجموعة من الهجمات التي تنسب إلى جهة تهديد معروفة باسم UT.
آلية عمل برمجية LucidRook الخبيثة
تتميز برمجية LucidRook عن غيرها من التهديدات بنفس المستوى من الجهد المبذول في التضليل والهندسة. إلى جانب LucidRook، تم التعرف على أداة استطلاع مصاحبة تسمى LucidNight، مما يوحي بأن الجهة الفاعلة لديها مجموعة أدوات متدرجة، تستخدم LucidNight لتحديد الأهداف قبل نشر البرمجية الخبيثة بالكامل.
ترى Cisco Talos بدرجة معتدلة من الثقة أن هذا النشاط يعكس اختراقًا مستهدفًا وليس انتشارًا عشوائيًا للبرمجيات الخبيثة. يبدأ الإصابة برسالة بريد إلكتروني احتيالية توجه الضحية لتنزيل أرشيف محمي بكلمة مرور.
ويحتوي الموصل، الذي تم تسميته LucidPan، على أيقونة واسم تطبيق لمنتج أمني من Trend Micro، مع تزوير شهادات التوقيع الرقمي. كما يقوم بإنزال وثائق وهمية، بما في ذلك خطاب حكومي موجه إلى الجامعات التايوانية، لإبقاء الضحية مشغولاً أثناء تنفيذ السلسلة الخبيثة بصمت في الخلفية.
بمجرد الوصول إلى النظام، يستخدم LucidPan ملفًا ثنائيًا نظاميًا شرعيًا مرتبطًا بإطار عمل DISM. يستغل البرنامج تقنية اختطاف ترتيب البحث في DLL، حيث يقوم بإنزال ملف DismCore.dll، وهو موصل LucidRook، في دليل مخفي بجوار الملف التنفيذي الشرعي index.exe.
عندما ينقر الضحية على ملف LNK المزيف، يقوم بتشغيل index.exe، والذي يقوم بدوره بتحميل DismCore.dll الخبيث. يتم إنشاء الثبات من خلال ملف LNK موضوع في مجلد بدء تشغيل Windows، والذي يشغل msedge.exe بعد إسقاط الملفات الثنائية، مقلدًا Microsoft Edge للاندماج مع نشاط النظام الطبيعي.
تتم كتابة الموصل في مجلد %APPDATA%، ويتم تمويه DismCore.dll بهذا الاسم لتجنب إثارة الشكوك الفورية. قبل التواصل مع البنية التحتية للقيادة والتحكم الخاصة به، تقوم LucidRook بجمع اسم المستخدم واسم الكمبيوتر وتفاصيل القرص والعمليات قيد التشغيل والبرامج المثبتة.
يتم تخزين هذه البيانات في ثلاثة ملفات مشفرة – 1.bin، 2.bin، و 3.bin – مجمعة في أرشيف محمي بكلمة مرور باستخدام مفاتيح RSA. ثم يقوم الموصل بالاتصال بخوادم FTP المخترقة التي تشغلها شركات الطباعة التايوانية التي تم إدراج بيانات اعتمادها علنًا على مواقعها الإلكترونية، وتحميل البيانات المجمعة واسترداد حمولة بايت كود Lua مشفرة.
لزيادة صلابته ضد التحليل، تطبق LucidRook وضعًا آمنًا غير قياسي يقوم بتعطيل تحميل المكتبات الديناميكية ويستخدم مخطط إخفاء السلاسل النصية باستخدام جدول بحث متوازٍ لإخفاء السلاسل النصية المضمنة أثناء وقت التشغيل.
قامت Cisco Talos بنشر مؤشرات الاختراق على مستودع GitHub الخاص بها لمساعدة المدافعين على تحديد هذا التهديد. يُنصح المؤسسات بتطبيق تصفية صارمة للبريد الإلكتروني لاكتشاف محاولات التصيد الاحتيالي، ومراقبة نشاط تحميل DLL غير العادي والعمليات التي يتم تشغيلها من %APPDATA%، وتأمين خوادم FTP لمنع كشف بيانات الاعتماد، ونشر قواعد الكشف Snort الصادرة عن Cisco Talos التي تغطي LucidRook و LucidPan والمكونات ذات الصلة.