MITRE ATT&CK T1059.011 - Интерпретаторы командной строки и сценариев: Lua

MITRE ATT&CK

Lua - это легкий, высокоуровневый язык сценариев, созданный для простоты и гибкости, часто используемый для встраивания в приложения, чтобы обеспечить настройку и автоматизацию. Его скорость, переносимость и простота интеграции делают его популярным в разработке игр, управлении конфигурацией и расширении программных инструментов. Однако его доброкачественная природа и гибкость также делают Lua привлекательным инструментом для злоумышленников в кибер-операциях.

Использование злоумышленниками языка Lua

Злоумышленники используют возможности Lua для написания сценариев и выполнения вредоносных действий. Поскольку Lua может быть встроен в различные программные среды и выполнять динамический код, злоумышленники могут интегрировать его в рамки вредоносного ПО или модифицировать легитимное программное обеспечение для своих целей.Среди примеров использования злоумышленниками можно назвать выполнение полезной нагрузки, методы уклонения, автоматизацию и разведку системы, а также атаки без файлов.

Использование злоумышленниками языка Lua демонстрирует обоюдоострую природу скриптовых языков: несмотря на их мощь для легитимных приложений, их адаптивность может быть использована во вредоносных контекстах, что подчеркивает важность мониторинга скриптовой активности в системах.

Например, в октябре 2024 года исследователи безопасности обнаружили вредоносное ПО Lua, нацеленное на образовательный сектор и использующее популярные среди студентов дополнения к игровому движку Lua. Появившись в начале года в виде упакованного загрузчика Lua, вредоносное ПО превратилось в глобальную угрозу, часто поставляемую в виде ZIP-архивов, содержащих обфусцированные скрипты Lua и такие компоненты, как компиляторы Lua и DLL-файлы.

В этих скриптах используется усовершенствованная обфускация с помощью обфускатора Prometheus, что затрудняет обратную разработку. Вредоносная программа использует гибкость Lua, выполняя вредоносные задачи через командно-контрольный (C2) сервер, собирая системные данные и обеспечивая постоянство с помощью запланированных задач. Она часто нацелена на пользователей, загружающих игровые читы с таких платформ, как GitHub.

Это вредоносное ПО является предшественником таких полезных нагрузок, как Redline infostealers, которые перехватывают конфиденциальные данные для перепродажи в «темной паутине». Morphisec борется с этими угрозами с помощью технологии автоматизированной защиты движущихся целей (AMTD), блокируя атаки на ранней стадии без использования традиционных методов обнаружения.

Комментарии: 0