กลุ่มภัยคุกคามใหม่ที่เรียกว่า UAT-10362 ถูกเปิดเผยว่าใช้แคมเปญ spear-phishing กำหนดเป้าหมายองค์กรไม่แสวงหาผลกำไร (NGOs) และมหาวิทยาลัยในไต้หวัน เพื่อติดตั้งมัลแวร์ LucidRook ที่เขียนด้วยภาษา Lua โดยมัลแวร์นี้เป็น stager ที่ซับซ้อน ฝังตัวแปลภาษา Lua และไลบรารีที่คอมไพล์ด้วย Rust ไว้ในไฟล์ DLL เพื่อดาวน์โหลดและรัน payload ที่เป็น Lua bytecode ตามขั้นตอน

การโจมตีใช้ไฟล์ล่อ RAR หรือ 7-Zip เพื่อส่ง dropper ชื่อ LucidPawn ซึ่งจะเปิดไฟล์หลอกและเรียกใช้ LucidRook โดยใช้เทคนิค DLL side-loading ในการดำเนินการทั้งสองขั้นตอน นอกจากนี้ LucidPawn ยังใช้ geofencing เพื่อตรวจสอบภาษาของระบบ และทำงานต่อเฉพาะในสภาพแวดล้อมภาษาจีนแบบดั้งเดิม (zh-TW) ของไต้หวันเท่านั้น ซึ่งช่วยจำกัดการทำงานเฉพาะภูมิภาคเป้าหมายและหลีกเลี่ยงการตรวจจับใน sandbox ทั่วไป

ที่มา: The Hacker News

คำศัพท์เทคนิคที่น่าสนใจ

• Spear-phishing – การโจมตีด้วยอีเมลหลอกลวงที่กำหนดเป้าหมายเฉพาะบุคคลหรือองค์กร
• DLL side-loading – เทคนิคที่ใช้ไฟล์ DLL ที่ถูกต้องเพื่อโหลดและรันโค้ดที่เป็นอันตราย
• Geofencing – เทคนิคจำกัดการทำงานของมัลแวร์ตามตำแหน่งทางภูมิศาสตร์หรือภาษาของระบบ
• Lua bytecode – รูปแบบโค้ดที่คอมไพล์แล้วของภาษา Lua สำหรับการรันอย่างมีประสิทธิภาพ
• Command-and-control (C2) – โครงสร้างพื้นฐานที่ผู้โจมตีใช้ควบคุมมัลแวร์และรับข้อมูลจากเครื่องที่ติดเชื้อ