In den letzten Wochen haben Sicherheitsforscher eine an Nichtregierungsorganisationen und Universitäten in Taiwan gerichtete Sprach-Phishing-Kampagne entdeckt, die schädliche Software verwendet, die in Lua geschrieben steht. Die ersten Analysen, geführt von Cisco Talos sie haben diese Bedrohung als LucidRook getauft und sie einem Schauspieler zugeschrieben, den sie intern UAT-10362 nennen, der sie als Gegner mit fortgeschrittenen Taktiken und Verfahren beschreiben.
Der im Oktober 2025 beobachtete Liefermodus basiert auf einer gerichteten Post, die passwortgeschützte komprimierte Dateien enthält. Beim Öffnen dieser Anlagen folgen die beobachteten Infektionsketten zwei unterschiedlichen Pfaden. Man nutzt einen LNK-Zugang - einen direkten Windows-Zugang -, der als Deko dient und endet mit einem Dropper namens LucidPawn. Auf andere Weise wird eine falsche ausführbare verwendet, die eine legitime Business Security Software sein soll, so dass ein glaubwürdiges Aussehen, um den Empfänger zu täuschen. Die Forscher weisen darauf hin, dass im Falle des Zugangs zur LNK Dokumente des offiziellen Erscheinungsbildes, wie angebliche Regierungsmitteilungen, mit der Absicht verbunden wurden, den Benutzer ablenken, während der bösartige Code seine Arbeit tat.
Einmal aktiviert, installiert LucidPawn eine legitime Kopie eines renommierten System binär, um wie ein Browser aussehen und entfaltet eine bösartige Bibliothek - registriert als DismCore.dll -, die nutzt die Sideloading-Technik, um LucidRook laufen. Diese Verwendung von legitimen ausführbaren zu verbergen schädliche Komponenten ist nicht neu, aber in diesem Fall ist es effizient, weil es Camouflage mit Methoden kombiniert, die Beobachtung und forensische Analyse kompliziert.
Was LucidRook besonders für Analysten interessant macht, ist seine modulare Architektur und die Einbeziehung eines Lumin eingebettet in die binäre. Statt alle Funktionen im nativen Code zu enthalten, kann Malware kodierte Sekundärstufen als Bytecode de Lua herunterladen und in dieser Umgebung ausführen. Diese Strategie bietet mehrere Vorteile für Angreifer: es ermöglicht neue Fähigkeiten eingesetzt werden, ohne den binären Kern zu berühren, beschleunigt die Anpassung von Malware an bestimmte Ziele und reduziert die statischen Beweise, die Verteidiger oft suchen.
Neben der Verwendung von Lua haben die Autoren eine starke Anziehung auf interne Ketten, Dateierweiterungen, Kennungen und Befehls- und Kontrolladressen angewendet, die die Arbeit derjenigen, die versuchen, die bösartige Software zu investieren. Laut Talos-Techniker wirkt diese Kombination aus eingebettetem und obfuscation-Interpreter doppelt: einerseits erleichtert sie schnelle Verhaltensänderungen, andererseits behindert sie die Rekonstruktion des Vorfalls, wenn die betroffenen Geräte nur das Ladegerät und nicht die extern gehostete Nutzlast zurückgewinnen.
In seinen Routinen sammelt LucidRook Systemerkennungsdaten: Benutzer- und Gerätenamen, installierte Anwendungen und laufende Prozesse. Die erfassten Informationen werden mit RSA nummeriert, in passwortgeschützten Dateien verpackt und, wie beobachtet, an die von den Angreifern von FTP kontrollierte Infrastruktur gesendet. Während der Analyse identifizierten die Forscher auch ein zugehöriges Tool namens LucidKnight, das der Erkennungsarbeit gewidmet scheint und alternative Exfiltrationsmethoden wie den Missbrauch des GMTP-Protokolls von Gmail enthält, um Daten zu übertragen, was die Existenz einer flexiblen Reihe von Werkzeugen an verschiedene betriebliche Bedürfnisse angepasst.
Talos-Experten schließen mit einem durchschnittlichen Vertrauen, dass diese Vorfälle Teil einer gezielten Kampagne sind. Jedoch, sie nicht zu erfassen eine entschlüsselbare Version des Bytecodes Lua, dass LucidRook von seinen Servern erhalten sollte, so dass die genauen Aktionen, die Malware ausgeführt hätte, wenn die Kontrolle etabliert ist noch nicht bestätigt werden. Diese Lücke zeigt eine der wichtigsten Herausforderungen bei der Untersuchung von Bedrohungen, die ihre Logik in ephemere Komponenten auslagern: Wird die im angreifenden Netzwerk gehostete Nutzlast schnell entfernt, wird die spätere Sichtbarkeit ernsthaft beeinträchtigt.
Für diejenigen, die die Sicherheit in Organisationen verwalten, die durch solche Angriffe gezielt werden könnten, gibt es klare Lektionen: die Kombination von sozialen Techniken (angepasst mit geschützten Anhängen), überzeugende Köder (offizielle Dokumente oder Nachahmungen von Sicherheitssoftware) und Ladegeräte, die legitime Binaries verwenden, erfordert eine tiefe Verteidigung. Die Einhaltung strenger Richtlinien für die Öffnung geschützter komprimierter Dateien, die Stärkung der Erkennung von ungewöhnlichen Verhaltensweisen in Endpunkten und die Überprüfung der Implementierungskontrollen, um die Verwendung von renommierten Sideloading und binären sind Maßnahmen, die das Risiko reduzieren können. Es ist auch wichtig, dass Antwortteams die Fähigkeit haben, Traffic und frühen Artefakte zu erfassen; wenn die Bühne Lua nur für einen kurzen Zeitraum untergebracht ist, zählt jede Minute, um Beweise zurückzugewinnen.
Wenn Sie die technische Analyse vertiefen möchten, ist der Cisco Talos-Bericht die wichtigste Referenz für die Öffentlichkeit über diese Kampagne und bietet Details über Infektionsketten und Malware-Design-Entscheidungen. Sie können es direkt auf dem Talos Blog konsultieren: Analyse von LucidRook von Cisco Talos. Um die Art des Produkts zu verstehen, die die Angreifer in einer der Ketten nachahmen, sind die Informationen über die Geschäftslösung, die supplantiert wurde, auf der Website des Lieferanten verfügbar: Trend Micro Worry-Free Business Security Services. Und wenn Sie daran interessiert sind, warum ein Dolmetscher wie Lua die Regeln des Spiels ändert, die offizielle Dokumentation selbst Lumin erklärt, wie diese leichte Sprache funktioniert, die es durch Design erleichtert, in andere Programme eingebettet zu werden.
Kurz gesagt, LucidRook ist eine Erinnerung daran, dass die Gegner weiterhin in der Mischung aus Social Engineering und anspruchsvollen technischen Techniken innovativ sind. Das Vorhandensein dynamischer Komponenten und ephemerer Phasen erfordert die Kombination von technischer Überwachung mit guten menschlichen Praktiken: Prävention und Früherkennung bleiben die besten Abwehrmaßnahmen gegen gezielte Kampagnen wie diese.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...