新型 "LucidRook "恶意软件被用于对非政府组织和大学的定向攻击
- 内容介绍
- 文章标签
- 相关推荐
New ‘LucidRook’ malware used in targeted attacks on NGOs, universities
A new Lua-based malware, called LucidRook, is being used in spear-phishing campaigns targeting non-governmental organizations and universities in Taiwan.
网友解答:[!quote]+
一种名为 LucidRook 的基于 Lua 的新型恶意软件正被用于针对非政府组织和大学的鱼叉式网络钓鱼活动。Cisco Talos 的研究人员将该恶意软件归咎于一个内部追踪为 UAT-10362 的威胁组织,并将其描述为一个 "拥有成熟操作技术 "的强大对手。
在 2025 年 10 月的攻击中, 发现了 LucidRook,这些攻击依赖于携带密码保护档案的钓鱼电子邮件。
研究人员发现了两个感染链,一个是使用 LNK 快捷方式文件的感染链,该文件最终提供了一个名为 LucidPawn 的恶意软件滴管;另一个是基于 EXE 的感染链,该感染链利用了一个假冒趋势科技无忧商务安全服务的假冒杀毒软件可执行文件。
基于 LNK 的攻击使用诱饵文件,例如精心制作的看似来自政府的政府信函,以转移用户的注意力。
image906×494 58.9 KBCisco Talos 观察到,LucidPawn 解密并部署了一个合法的可执行文件,并将其重命名以模仿 Microsoft Edge,同时还部署了一个恶意 DLL (DismCore.dll),用于侧载 LucidRook。
LucidRook 的显著特点是其模块化设计和内置的 Lua 执行环境,可将第二阶段有效载荷作为 Lua 字节码检索和执行。
这种方法使操作人员能够在不修改核心恶意软件的情况下更新功能,同时也限制了取证的能见度。通过对代码进行大量混淆,这种隐蔽性进一步增强。
"Cisco Talos 解释说:"嵌入 Lua 解释器可以有效地将本地 DLL 变成一个稳定的执行平台,同时允许威胁行为者通过更新 Lua 字节码有效载荷,为每个目标或活动更新或定制行为,开发过程更加轻便灵活。
image1274×1160 291 KB
--【壹】--:
之前收到过类似的钓鱼邮件。更多的是广告邮件。
--【贰】--:
一种钓鱼工具,有没有人往你学生邮箱丢诈骗说是?
鱼似乎没有吃到过……
--【叁】--:
這是啥 我有什麼理由被攻擊到說是AgAD1hQAAqAt4Fc.gif512×512 65.2 KB
--【肆】--:
@joegodwanggod 你有没有被攻击到说是?
--【伍】--:
我應該是沒吃過 我對學生相關的東西都很厭惡 看到就封鎖了AgAD1hQAAqAt4Fc.gif512×512 65.2 KB
New ‘LucidRook’ malware used in targeted attacks on NGOs, universities
A new Lua-based malware, called LucidRook, is being used in spear-phishing campaigns targeting non-governmental organizations and universities in Taiwan.
网友解答:[!quote]+
一种名为 LucidRook 的基于 Lua 的新型恶意软件正被用于针对非政府组织和大学的鱼叉式网络钓鱼活动。Cisco Talos 的研究人员将该恶意软件归咎于一个内部追踪为 UAT-10362 的威胁组织,并将其描述为一个 "拥有成熟操作技术 "的强大对手。
在 2025 年 10 月的攻击中, 发现了 LucidRook,这些攻击依赖于携带密码保护档案的钓鱼电子邮件。
研究人员发现了两个感染链,一个是使用 LNK 快捷方式文件的感染链,该文件最终提供了一个名为 LucidPawn 的恶意软件滴管;另一个是基于 EXE 的感染链,该感染链利用了一个假冒趋势科技无忧商务安全服务的假冒杀毒软件可执行文件。
基于 LNK 的攻击使用诱饵文件,例如精心制作的看似来自政府的政府信函,以转移用户的注意力。
image906×494 58.9 KBCisco Talos 观察到,LucidPawn 解密并部署了一个合法的可执行文件,并将其重命名以模仿 Microsoft Edge,同时还部署了一个恶意 DLL (DismCore.dll),用于侧载 LucidRook。
LucidRook 的显著特点是其模块化设计和内置的 Lua 执行环境,可将第二阶段有效载荷作为 Lua 字节码检索和执行。
这种方法使操作人员能够在不修改核心恶意软件的情况下更新功能,同时也限制了取证的能见度。通过对代码进行大量混淆,这种隐蔽性进一步增强。
"Cisco Talos 解释说:"嵌入 Lua 解释器可以有效地将本地 DLL 变成一个稳定的执行平台,同时允许威胁行为者通过更新 Lua 字节码有效载荷,为每个目标或活动更新或定制行为,开发过程更加轻便灵活。
image1274×1160 291 KB
--【壹】--:
之前收到过类似的钓鱼邮件。更多的是广告邮件。
--【贰】--:
一种钓鱼工具,有没有人往你学生邮箱丢诈骗说是?
鱼似乎没有吃到过……
--【叁】--:
這是啥 我有什麼理由被攻擊到說是AgAD1hQAAqAt4Fc.gif512×512 65.2 KB
--【肆】--:
@joegodwanggod 你有没有被攻击到说是?
--【伍】--:
我應該是沒吃過 我對學生相關的東西都很厭惡 看到就封鎖了AgAD1hQAAqAt4Fc.gif512×512 65.2 KB