تهديد جديد: UAT-10362 كيستهدف الجمعيات غير الحكومية فتايوان ببرنامج خبيث جديد سميتو "LucidRook"
UAT-10362 Targets Taiwanese NGOs with LucidRook Malware in Spear-Phishing Campaigns
تهديد جديد: UAT-10362 كيستهدف الجمعيات غير الحكومية فتايوان ببرنامج خبيث جديد سميتو "LucidRook"
خلاصة (TL;DR)
واحد لمجموعة د التهديدات يلاه تكتشفات، سميتها UAT-10362، كتهجم على الجمعيات غير الحكومية (NGOs) والجامعات فتايوان باستعمال حملات "الصيد بالرمح" (Spear-phishing). المهاجمين كيخدمو بواحد الـ stager متطور مبني بـ Lua سميتو LucidRook، كيدوز عبر مراحل معقدة ديال العدوى فيها تقنيات بحال DLL side-loading، Geofencing، وبنية تحتية مخترقة ديال C2.
كاين واحد الطرف هجومي متطور وماكانش معروف من قبل، مركز دابا الجهود ديالو على المنظمات غير الحكومية والمؤسسات الأكاديمية فتايوان. هاد المجموعة اللي سماوها الباحثين فـ Cisco Talos بـ UAT-10362، كتخدم بمجموعة أدوات مصاوبة خصيصاً باش تكون خفية، دقيقة، وكتستهدف مناطق جغرافية محددة.
هاد الحملة، اللي تكتشفات لأول مرة فـ أكتوبر 2025، كتمحور حول نشر عائلة جديدة ديال البرامج الخبيثة سميتها LucidRook، وهو عبارة على "stager" موديلار (modular) كيجمع بين بزاف د لغات البرمجة باش يهرب من لأنظمة الأمنية التقليدية.
بنية البرنامج الخبيث LucidRook
على حساب "Ashley Shen"، الباحثة فـ Cisco Talos، فإن LucidRook هو عبارة على Windows DLL بـ 64 بت كيخدم كـ stager متطور. البنية ديالو معقدة بزاف، حيت مدمج فيه مترجم Lua 5.4.8 ومكتبات (libraries) مبرمجة بـ Rust وسط هاد الـ DLL.
الأهداف الأساسية ديال هاد البرنامج هي:
- استطلاع النظام (System Reconnaissance): جمع معلومات على الجهاز باش يسربوها (exfiltration).
- تنفيذ الحمولة (Payload Execution): التيليشارجمون ديال "Lua bytecode" مشفر من سيرفر التحكم (C2) وتشغيلو مباشرة فـ الذاكرة (memory) باستعمال المترجم المدمج.
باش يصعبو المأمورية على التحقيق الجنائي الرقمي، "الباينري" (binary) مشفر ومغطي بزاف (obfuscated)، الشي اللي كيخلي الـ sandboxes والخبراء يلقاو صعوبة باش يفهمو المنطق ديالو.
جوج طرق باش يخترقو: سلاسل عدوى متعددة الوسائل
UAT-10362 كيستعملو إيميلات "spear-phishing" فيها ملفات مضغوطة RAR ولا 7-Zip. غير الضحية كيحلو الملف، الهجوم كيدوز عبر وحدة من جوج سلاسل ديال العدوى، واللي بجوج كيعتمدو على DLL side-loading—وهي تقنية فين كيتم استغلال برنامج قانوني باش يشغل مكتبة (library) خبيثة.
1. سلسلة "LNK-Based"
فهاد الحالة، الملف المضغوط كيكون فيه اختصار ديال ويندوز (LNK) كيبان بحال ملف PDF.
- التشغيل: ملي كتكليكي على الـ LNK، كيخدم واحد الـ PowerShell script.
- Side-loading: السكريبت كيشغل برنامج ويندوز قانوني (
index.exe) كاين فالمجلد، وهاد الأخير كيشغل "dropper" سميتو LucidPawn. - المرحلة النهائية: LucidPawn كيستعمل دورة تانية ديال DLL side-loading باش يطلق الـ stager الرئيسي LucidRook.
2. سلسلة "EXE-Based"
الطريقة الثانية فيها ملف تنفيذي (Cleanup.exe) كيبان بحال أداة ديال "Antivirus" قانونية تابعة لشركة Trend Micro.
- التشغيل: ملي كيتحل، هاد الـ dropper المبني بـ NET. كيبين رسالة وهمية للمستخدم كيقول ليه باللي "عملية التنظيف" كملات.
- Side-loading: مورا الستار، الـ dropper كيدير side-load لـ LucidRook مباشرة.
تمويه متطور وGeofencing: غير "zh-TW" اللي مستهدف
وحدة من الميزات اللي باينة فـ LucidPawn هي استخدامه لتقنية الـ "geofencing" باش يتأكد باللي غادي يعدي غير الأهداف اللي فالمناطق المقصودة. البرنامج الخبيث كيسول على لغة الواجهة (UI language) ديال النظام؛ إلا لقى البيئة ما مطابقاش مع الصينية التقليدية (zh-TW)—اللغة اللي مستعملة أساساً فتايوان—التشغيل كيحبس تماك.
هاد التكتيك عندو جوج أهداف: كيضمن بلي البرنامج كيضرب غير الناس اللي معنيين، وكيمنع الباحثين الأمنيين فبلايص خرين من أنهم يحللو الحمولة (payload) فأنظمة التحليل الأوتوماتيكية.
مجموعة الأدوات: LucidKnight وبنية الـ C2
UAT-10362 كيبان باللي كيخدمو بمجموعة أدوات مقسمة لطبقات. الباحثين لقاوا DLL آخر بـ 64 بت سميتو LucidKnight، مصاوب خصيصاً باش يسرب معلومات النظام عبر Gmail لـ "إيميلات مؤقتة". وجود LucidKnight كيوحي بلي المهاجمين كيقدروا يستعملوه فالمرحلة اللولة ديال الاستطلاع باش يعرفو مواصفات الضحية قبل ما يقررو يصيفطو LucidRook اللي متطور كتر.
البنية التحتية ديال هاد المجموعة حتى هي مرنة بزاف، وكتستعمل:
- سيرفرات FTP مخترقة: كيستعملوها للتواصل مع الـ C2.
- خدمات OAST: استغلال خدمات "Out-of-band Application Security Testing".
- بنية تحتية عامة: استعمال خدمات قانونية بحال Gmail باش يتخباو وسط حركة المرور (traffic) العادية ديال الشبكة.
خلاصة
وخا الهوية والأصل ديال UAT-10362 باقي ما معروفينش، الطريقة باش كيخدمو كتدل على مستوى عالي ديال الاحترافية. من خلال الجمع بين تصميم موديلار، برامج خبيثة بلغات متعددة (Lua, Rust, .NET)، وتحديد أهداف جغرافي، صاوبو "Pipeline" فعال بزاف باش يستهدفو المنظمات الحساسة فتايوان.
كيفما شرطات Talos، الاعتماد ديال المهاجمين على التخفي والبنية التحتية المخترقة كيبين باللي هاد الحملات مركزة بزاف (highly targeted) وماشي غير عشوائية، الشي اللي كيجعل UAT-10362 تهديد حقيقي لقطاع الجمعيات والتعليم فالمنطقة.