كشفت شركة Cisco Talos عن مجموعة تهديد جديدة غير موثقة سابقاً أُطلق عليها اسم UAT-10362، استهدفت منظمات غير حكومية وجامعات في تايوان عبر حملات تصيّد موجّهة. الهدف كان نشر برمجية خبيثة جديدة تُعرف باسم LucidRook، وهي برمجية تعتمد على لغة Lua وتدمج مكتبات مكتوبة بلغة Rust داخل ملف DLL لتشغيل حمولة مشفّرة من بايت كود Lua.
الهجوم اعتمد على أرشيفات RAR و7-Zip تحتوي على ملف إسقاط يُسمى LucidPawn، يقوم بفتح ملف خداعي ثم تشغيل LucidRook باستخدام تقنية DLL Side-Loading. هناك سلسلتان رئيسيتان للعدوى: الأولى عبر ملف اختصار LNK بأيقونة PDF، والثانية عبر برنامج مزيف باسم “Cleanup.exe” يوحي بأنه من Trend Micro.
خصائص البرمجية LucidRook
البرمجية LucidRook عبارة عن DLL لنظام Windows بقدرات مزدوجة:
- جمع معلومات النظام وإرسالها إلى خادم خارجي.
- استقبال حمولة مشفّرة من بايت كود Lua وفك تشفيرها وتنفيذها باستخدام مفسر Lua المدمج.
الملف مشفّر بشكل معقد لتجنب التحليل والكشف، ويعتمد على خدمات OAST وخوادم FTP مخترقة كجزء من بنية التحكم والسيطرة (C2).
تقنيات الاستهداف والتخفي
أحد أبرز أساليب LucidPawn هو استخدام تقنية Geofencing، حيث يتحقق من لغة واجهة النظام ويواصل التنفيذ فقط إذا كانت اللغة الصينية التقليدية (zh-TW) المرتبطة بتايوان. هذا يحقق هدفين: حصر الهجوم في نطاق جغرافي محدد، وتجنب الاكتشاف في بيئات التحليل الشائعة. كما رُصدت نسخة أخرى من الإسقاط تُسمى LucidKnight، قادرة على إرسال بيانات النظام عبر بريد Gmail إلى عنوان مؤقت، ما يشير إلى وجود أدوات استطلاع تُستخدم قبل نشر LucidRook.
دلالات على قدرات متقدمة
رغم أن المعلومات حول مجموعة UAT-10362 ما تزال محدودة، إلا أن تصميم البرمجية متعدد اللغات، واعتمادها على تقنيات مضادة للتحليل، واستخدامها بنية تحتية عامة أو مخترقة، كلها مؤشرات على أن المجموعة تتمتع بقدرات متقدمة ونهج عملياتي ناضج. هذه الحملة ليست عشوائية بل موجّهة بدقة نحو أهداف محددة، ما يعكس تركيز المهاجمين على المرونة والتخفي وتخصيص المهام وفقاً للضحايا.
كلمات مفتاحية: UAT-10362, LucidRook, LucidPawn,, تايوان, الأمن السيبراني, DLL Side-Loading, Lua, Rust, OAST, C2, Geofencing, , , تصيّد موجّه, منظمات غير حكومية
