Використання «нетипових» мов програмування у шкідливому ПЗ із нішовим застосуванням перестало бути екзотикою. Дослідження Cisco Talos демонструє, як новий кластер загроз UAT-10362 застосовує Lua‑орієнтовану інфраструктуру для прихованого кібершпигунства проти тайванських некомерційних організацій і, ймовірно, університетів. Центральним елементом операції став новий стейджер для Windows під назвою LucidRook.
Кластер загроз UAT-10362: прицільні атаки проти Тайваню
Активність UAT-10362 була зафіксована в жовтні 2025 року. На відміну від масових фішингових кампаній, група працює точково: формує обмежений список жертв у Тайвані та готує персоналізовані листи. Такий підхід характерний для операцій кібершпигунства, орієнтованих на збір розвідданих і крадіжку чутливої інформації, а не на швидке заробляння через шифрувальники чи банківські трояни.
Початковий вектор компрометації — фішингові електронні листи із вкладеними архівами RAR або 7-Zip. Усередині міститься завантажувач LucidPawn, який запускає ланцюжок зараження і паралельно відкриває документ-приманку, щоб створити враження легітимної роботи з файлом.
Ланцюжок зараження: LucidPawn, DLL side-loading і маскування під легітимне ПЗ
DLL side-loading як ключовий механізм обходу захисту
Основна техніка UAT-10362 — DLL side-loading. Зловмисники розміщують шкідливу DLL у тій самій директорії, що й довірена програма. Під час запуску ОС автоматично підвантажує «підставлену» бібліотеку, вважаючи її частиною легітимного ПЗ. Таким чином активуються й LucidPawn, і подальший стейджер LucidRook, минаючи значну частину сигнатурних і поведінкових механізмів виявлення, налаштованих на підозрілі EXE-файли.
Імітація PDF-документів та антивірусу Trend Micro
Дослідники виокремлюють дві основні гілки інфекції, що завершуються запуском LucidRook:
- застосування ярлика Windows (LNK) із піктограмою PDF, який візуально сприймається як документ, тоді як насправді запускає шкідливий сценарій;
- використання исполнимого файлу, що маскується під продукт Trend Micro, підвищуючи довіру користувача й зменшуючи шанс оперативного блокування з боку служби інформаційної безпеки.
Ця комбінація соціальної інженерії та технічного маскування ускладнює як ручне виявлення атаки користувачем, так і автоматичне спрацювання захисних систем.
LucidRook: Lua-стейджер з модульною архітектурою на базі DLL та Rust
Ядро операції — 64-бітна DLL LucidRook, інтенсивно обфускована для ускладнення реверс-інжинірингу. Всередині бібліотеки інтегровано інтерпретатор Lua 5.4.8 та набір Rust‑модулів. Така багатомовна архітектура дозволяє відокремити статичний «каркас» від гнучких функціональних модулів, що завантажуються динамічно.
На початковому етапі LucidRook виконує системну розвідку: збирає відомості про версію ОС, апаратну конфігурацію, встановлені програми, мережеве оточення. Зібрані дані надсилаються на сервер керування (C2). У відповідь стейджер отримує зашифрований Lua-байткод, розшифровує його та виконує за допомогою вбудованого інтерпретатора.
Цей підхід дає атакувальникам кілька критично важливих переваг:
- гнучке оновлення функціоналу без заміни основного бінарного файлу;
- точкове налаштування модулів під кожну окрему цільову систему;
- мінімізація мережевого «шуму» за рахунок передачі компактного байткоду замість повноцінних виконуваних файлів.
Канал керування побудований на комбінації скомпрометованих FTP‑серверів та OAST‑сервісів (Out-of-band Application Security Testing), які зазвичай використовують тестувальники безпеки для виявлення позасмугових викликів з веб-додатків. Експлуатація реальної або зламаної інфраструктури ускладнює атрибуцію й блокування C2, оскільки трафік виглядає подібно до легітимної активності.
Геофенсинг, уникнення аналізу та роль модуля LucidKnight
Завантажувач LucidPawn реалізує геофенсинг — перевірку налаштувань середовища перед виконанням. Зокрема, програмний код аналізує мову інтерфейсу ОС і продовжує роботу лише тоді, коли виявляє традиційну китайську локалізацію для Тайваню (“zh-TW”). Це обмежує поширення шкідника поза цільовим регіоном та зменшує ймовірність його потрапляння до глобальних «пісочниць» дослідників, де частіше використовується англійська або інші мови.
Паралельно з LucidRook виявлено додатковий модуль LucidKnight, який також працює у форматі DLL. Він зосереджений на зборі інформації про систему, але для екфільтрації даних використовує обліковий запис Gmail, відправляючи відомості на тимчасову поштову скриньку. Це створює альтернативний канал керування й зменшує залежність від єдиної C2-інфраструктури, що ускладнює виявлення на рівні мережевого моніторингу.
Спільна присутність LucidRook і LucidKnight на заражених хостах свідчить про багаторівневий набір інструментів. Ймовірно, LucidKnight використовується для початкового профілювання жертви й оцінки цінності цілі, тоді як LucidRook виступає універсальним стейджером для розгортання додаткових модулів, крадіжки документів та забезпечення стійкого доступу.
Практичні рекомендації для НКО, університетів і корпоративних ІТ-команд
Комбінація технік DLL side-loading, геофенсингу, Lua‑байткоду, OAST‑сервісів та скомпрометованих FTP демонструє високий рівень зрілості UAT-10362. Для організацій у некомерційному секторі, вишах і держустановах це сигнал до посилення базової гігієни безпеки та впровадження більш просунутих засобів захисту.
До пріоритетних заходів варто віднести:
- Посилення контролю пошти: аналіз вкладених архівів (RAR, 7z), блокування макросів і виконуваних файлів, фільтрація LNK-яриків.
- Обмеження завантаження DLL: впровадження контролю цілісності застосунків, application allowlisting, моніторинг нетипових бібліотек у директоріях довірених програм.
- EDR/XDR-рішення, здатні відстежувати ланцюжки запуску завантажувачів, аномальні дії легітимних процесів і підозрілу взаємодію з FTP та OAST-сервісами.
- Навчання співробітників розпізнаванню цільового фішингу, перевірці відправників і обережному ставленню до архівів та «документів», що вимагають запуску додаткових файлів.
- Перегляд політик доступу: принцип найменших привілеїв, сегментація мережі, обмеження вихідних з’єднань на FTP та нетипові веб‑сервіси.
У міру того як кібершпигунські групи на кшталт UAT-10362 переходять до спеціалізованих мов, багатомодульних стейджерів і маскування під інструменти безпеки, організаціям необхідно так само еволюціонувати свою оборону. Варто переглянути поточні засоби захисту, протестувати їх на сценаріях DLL side-loading і геофенсингу, посилити моніторинг підозрілої мережевої активності та систематично інвестувати в підвищення обізнаності персоналу. Чим раніше буде виявлена цільова кампанія на кшталт LucidRook, тим менше шансів у зловмисників утримувати приховану присутність та непомітно виводити дані з вашої інфраструктури.
