Вредоносное ПО на языке Lua нацелено на образовательный сектор и игровые движки для студентов

security IOC

Morphisec Threat Labs обнаружила сложные варианты вредоносного ПО на языке Lua, нацеленные на образовательный сектор, в частности, использующие популярность игровых дополнений на основе Lua среди студентов.

Lua loader

Вредоносные программы распространяются через обфусцированные скрипты Lua, загружаемые с таких платформ, как GitHub, которые с меньшей вероятностью будут обнаружены, чем скомпилированный байткод Lua. В состав загружаемых файлов обычно входят компилятор Lua, DLL-файл Lua, обфусцированный скрипт и пакетный файл для его выполнения.
После выполнения загрузчик связывается с командно-контрольным (C2) сервером, отправляя сведения о зараженной машине и получая задания по поддержанию персистентности, скрытию процессов и загрузке новых полезных нагрузок и конфигураций. Вредоносная программа использует отравление поисковой оптимизации (SEO) и связана с популярными скриптовыми движками для обмана, такими как Solara и Electron, часто используемыми в Roblox. Вредоносная программа использует методы защиты от реверсирования, в том числе обфускацию, которая препятствует анализу, обнаруживая попытки переформатирования кода, и использует библиотеку Foreign Function Interface (FFI) для прямого выполнения кода на языке C.

Вредоносная программа собирает информацию о жертве, устанавливает постоянство с помощью запланированных задач и может обходить Windows Defender с повышенными привилегиями. Сервер C2 выдает команды загрузчику на выполнение или задания на загрузку дополнительной полезной нагрузки, а также механизмы обратного подключения к альтернативным адресам в случае блокировки. Примечательно, что вредоносная программа приводит к развертыванию Infostealers, таких как Redline, которые собирают учетные данные для продажи в Dark Web. Возможности вредоносной программы включают загрузку дополнительных полезных нагрузок, выполнение файлов и установку файлов в скрытое состояние с использованием различных методов, таких как инъекция DLL и сценарии PowerShell, для сохранения устойчивости и уклонения от обнаружения.

Indicators of Compromise

IPv4

  • 146.19.128.146
  • 185.208.158.36
  • 185.221.198.82
  • 185.236.228.12
  • 212.193.4.66
  • 77.73.129.64

Domains

  • electronexec.com
  • Solaraexec.cc

URLs

  • github.com/user-attachments/files/16201677/getter.json
  • github.com/user-attachments/files/16737781/Electron.zip
  • github.com/user-attachments/files/16968308/socket.json
  • github.com/user-attachments/files/17057089/SolaraV3.zip

SHA256

  • 308721f4dc7818aed5f0282a3efa5944c1d16e97b0cb3bb5786009a186ea9791
  • 3b515469aba46a0a08d8fcbd8feb98ce9bcebfa1a48d56be586dc9aa4584c0c2
  • 8e59a9de633fc1e0a9da10268c606b898e7d5a6645ee21851465e027aefbaec9
  • 98418f7079cc11970899a18098425d22414663301dbbad1c892a8c702b90223f
  • 9aacf8f59b8daff24161549378c95174dac40b2fb01d7b8a78b513d3d35f6411
  • aecdaa94885c3fcd856c3516311bf366ac5ee13b43c28560eadc1f637efcf432
  • afd731bb658525845c8ee4216b05ce0c9c8b2e8b745884fbefeb01ef331163a1
  • b3ecbe4132598ef746e2111ba29f46af06886677d18595b6845849577121707a
  • e09370c9adc09c15eb8d05301bd3c74ef76e98b8a2fa2089df9c4ec5d7b4e047
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий