LucidRook 恶意软件通过鱼叉式网络钓鱼针对台湾的非政府组织和大学

执行摘要

一种以前未被记录的恶意软件家族，被称为LucidRook，正在针对台湾的非政府组织（NGOs）和大学进行有针对性的鱼叉式网络钓鱼攻击。这种用Lua脚本语言编写的恶意软件通过恶意电子邮件附件传递，旨在在被入侵的系统上建立长期持久性，以便于数据盗窃。威胁行为者的身份和动机尚不清楚，但选择性的目标表明了进行间谍活动或信息收集的意图。

技术分析

LucidRook是一个基于Lua的模块化植入体。根据分析，最初的感染向量是一个包含恶意Microsoft Word文档的鱼叉式网络钓鱼电子邮件。打开该文档时，可能会利用已知漏洞或使用社会工程学来执行恶意脚本，最终部署Lua有效载荷。恶意软件的核心组件是一个充当加载器和通信模块的Lua脚本。

一旦执行，LucidRook通过创建计划任务或启动注册表项来建立持久性。然后它使用HTTP POST请求与命令和控制（C2）服务器通信。C2基础设施配置为模仿合法的云存储服务，可能是为了规避基于网络的检测。恶意软件支持其操作者发出的一系列命令，包括下载和执行额外的基于Lua的模块、从受害者系统上传文件以及执行基本侦察。使用Lua，一种不常见的恶意软件语言，可能是故意绕过通常关注用C或C++等语言编写的二进制文件的静态检测签名。

入侵指标

目前没有识别出任何入侵指标。

战术、技术与程序

威胁行为者采用与目标入侵活动一致的一系列战术。通过鱼叉式网络钓鱼附件（T1566.001）实现初始访问，电子邮件包含武器化的Word文档。对于执行，他们可能依赖于用户执行（T1204）来打开文档，然后触发脚本执行。通过计划任务/作业（T1053.005）或注册表运行密钥/启动文件夹（T1547.001）建立持久性。通过应用层协议：Web协议（T1071.001）进行命令和控制，流量设计为与正常Web流量混合，以服务像Google Drive这样的服务。主要目标似乎是数据外泄（TA0010），恶意软件能够收集并上传来自被入侵主机的文件。

威胁行为者背景

目前尚不清楚LucidRook背后的威胁行为者的身份和来源。公开报告没有将活动归因于已知的高级持续性威胁（APT）小组。针对台湾的NGOs和学术机构的目标表明可能存在地缘政治或情报收集动机，但这仍然是推测性的。运营安全措施，如使用不常见的编程语言和伪装的C2流量，表明这是一个中等复杂的行为者，能够为特定活动开发定制工具。

缓解措施与建议

组织，特别是非政府组织和教育部门，应实施针对已识别TTPs的防御措施。主要建议包括：

• **用户培训：**进行定期的安全意识培训，重点在于识别鱼叉式网络钓鱼企图，特别是可疑的电子邮件附件。
• **电子邮件过滤：**部署能够分析附件中恶意脚本并阻止可疑URL的高级电子邮件安全解决方案。
• **端点检测：**使用配置为检测异常进程创建的端点检测和响应（EDR）工具，特别是与Office文档相关的脚本引擎如Lua的执行。
• **网络监控：**监控出站HTTP/HTTPS流量的异常情况，例如连接到新注册的域名或与正常用户活动不一致的云服务模式。
• **应用控制：**考虑实施应用程序允许列表策略，以限制未经授权的脚本和二进制文件的执行。
• **事件响应：**确保事件响应计划更新，以处理涉及基于脚本的恶意软件的入侵，并具备分析非二进制有效载荷的能力。