Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

New ‘LucidRook’ malware used in targeted attacks on NGOs, universities

1 minute de lecture

Mis à jour :

LucidRook : Une menace modulaire ciblant les institutions taïwanaises

Le groupe de cybermenace UAT-10362 déploie actuellement « LucidRook », un malware sophistiqué basé sur le langage Lua, ciblant des ONG et des universités à Taïwan. Utilisant des campagnes de phishing par email avec des archives protégées par mot de passe, les attaquants emploient des techniques d’ingénierie sociale basées sur de faux documents gouvernementaux.

Points clés :

  • Modularité furtive : L’intégration d’un interpréteur Lua permet aux attaquants de modifier les fonctionnalités du malware à la volée via des charges utiles en bytecode, rendant l’analyse forensique post-incident complexe.
  • Vecteurs d’infection : Utilisation de raccourcis LNK (déployant le dropper « LucidPawn ») ou d’exécutables contrefaisant des logiciels de sécurité légitimes.
  • Techniques de persistance et dissimulation : Utilisation du chargement latéral de DLL (DLL side-loading) en mimant Microsoft Edge et obfuscation poussée du code.
  • Outils associés : Le groupe utilise également « LucidKnight », un outil de reconnaissance capable d’exfiltrer des données via le protocole GMTP de Gmail.
  • Exfiltration : Le malware collecte des informations système, les chiffre en RSA, et les transfère via FTP.

Vulnérabilités exploitées :

  • Bien qu’aucune CVE spécifique ne soit mentionnée, l’attaque repose sur l’abus de fonctionnalités légitimes comme le DLL Side-loading et l’exécution de fichiers malveillants masqués sous des apparences d’outils de sécurité (Trend Micro).

Recommandations :

  • Filtrage des emails : Renforcer les politiques de filtrage des emails pour bloquer les archives protégées par mot de passe provenant d’expéditeurs inconnus ou suspects.
  • Contrôle des applications : Mettre en œuvre une politique de liste blanche (Allowlisting) pour empêcher l’exécution de binaires non autorisés ou de DLL chargées latéralement.
  • Surveillance réseau : Surveiller les flux FTP sortants suspects et les communications inhabituelles vers des services de messagerie utilisés à des fins d’exfiltration de données (abus de GMTP).
  • Sensibilisation : Former le personnel des organisations ciblées à la vérification systématique de l’authenticité des documents administratifs et des emails officiels.

Source

Vous pourriez aimer