Giriş
Son dönemde, “LucidRook” adı verilen yeni bir Lua tabanlı kötü amaçlı yazılım, Tayvan’daki sivil toplum kuruluşları ve üniversiteleri hedef alan kişiye özel (spear-phishing) saldırılarda kullanılmaktadır. Bu tehdidin ardında, “mature operational tradecraft” (gelişmiş operasyonel zanaat) becerilerine sahip bir grup olduğu tespit edilmiştir.
Saldırı Nasıl Çalışıyor?
LucidRook, Ekim 2025’te şifreli arşivler içeren phishing e-postaları kullanılarak gerçekleştirilen saldırılarda gözlemlenmiştir. İki farklı enfeksiyon zinciri tespit edilmiştir:
- LNK tabanlı zincir: Kullanıcının dikkatini dağıtmak için Tayvan hükümetine ait belgelerin yanıltıcı versiyonlarını içeren belgelerle birlikte bir LNK kısayol dosyası kullanır.
- EXE tabanlı zincir: Trend Micro Worry-Free Business Security Services’i taklit eden sahte bir antivirüs yürütülebilir dosyası kullanarak LucidPawn adlı kötü amaçlı yazılım yükleyicisini devreye alır.
Etkilenen Sistemler
Cisco Talos, LucidPawn’ın meşru bir yürütülebilir dosyayı (Microsoft Edge rolüne bürünmüş olarak) deşifre edip dağıttığını ve LucidRook’un sideloading için zararlı bir DLL (DismCore.dll) kullandığını belirtmektedir. LucidRook, modüler bir tasarıma sahip olup yerleşik Lua yürütme ortamına sahiptir. Bu, ikinci aşama yükleri Lua bytecode olarak alma ve yürütme yeteneği sağlar.
Çözüm ve Korunma
LucidRook’un kodu yoğun şekilde obfuscate edilmiş olup, bu da tersine mühendislik çabalarını zorlaştırmaktadır. Yazılım yürütüldüğünde, sistem hakkında bilgi toplayarak kullanıcı adları, bilgisayar adları, yüklü uygulamalar ve çalışan süreçler gibi verileri toplar. Bu veriler, RSA ile şifrelenerek, şifreli arşivlerde saklanır ve FTP üzerinden saldırgan kontrolündeki altyapıya verilmek üzere dışarıya çıkarılır.
LucidRook ile ilişkili bir başka araç olan “LucidKnight” ise topladığı verileri Gmail GMTP kullanarak dışarıya aktarabilmektedir. UAT-10362 grubunun, operasyonel ihtiyaçlara uygun esnek bir araç setine sahip olduğu anlaşılmaktadır.
Sonuç
LucidRook saldırıları, hedefli bir saldırı kampanyasının parçası olarak değerlendirilmektedir. Ancak, LucidRook tarafından fetch edilen decrypt edilebilir Lua bytecode’un yakalanamaması nedeniyle, enfeksiyon sonrası alınan spesifik önlemler bilinmemektedir.
Bu nedenle, kullanıcıların şu önlemleri almaları önerilmektedir:
- Tüm yazılımları güncel tutun ve güvenlik yamalarını uygulayın.
- Şifreli ekleri ve kimlik avı e-postalarını dikkatlice kontrol edin.
- Gereksiz açık portları kapatın ve güvenlik duvarı kurallarınızı gözden geçirin.
- Sistemlerinizi düzenli olarak denetleyin ve anormallikleri izleyin.
