MalwareHackerangriffePhishing

LucidRook: Neue Lua-basierte Malware zielt auf NGOs und Universitäten in Taiwan

LucidRook: Neue Lua-basierte Malware zielt auf NGOs und Universitäten in Taiwan
Zusammenfassung

Die Cybersicherheitsforschungsfirma Cisco Talos hat eine neue, modular aufgebaute Malware namens LucidRook entdeckt, die in gezielten Spear-Phishing-Kampagnen gegen Nichtregierungsorganisationen und Universitäten in Taiwan eingesetzt wird. Die Schadsoftware basiert auf Lua und wird der Bedrohungsgruppe UAT-10362 zugeordnet, die über fortgeschrittene operationelle Fähigkeiten verfügt. Die Angriffe wurden im Oktober 2025 beobachtet und nutzten Phishing-E-Mails mit passwortgeschützten Archiven als Einfallsvektor. Besonders bemerkenswert ist LucidRooks innovativer Aufbau: Das integrierte Lua-Interpreter-System ermöglicht es den Angreifern, Funktionen zu aktualisieren, ohne den Core der Malware zu verändern, was die forensische Analyse erheblich erschwert. Für deutsche Behörden, Universitäten und NGOs stellt diese Bedrohung ein erhebliches Risiko dar, insbesondere wenn ähnliche Taktiken auf westliche Institutionen übertragen werden. Die umfangreiche Verschleierung des Codes und die Verwendung legitimer Tools für Sideloading deuten auf eine hochentwickelte Angriffskampagne hin, die potenziell auch europäische Ziele gefährden könnte und erhöhte Wachsamkeit bei der E-Mail-Sicherheit erfordert.

Die neu entdeckte Malware LucidRook stellt eine beachtliche Weiterentwicklung im Arsenal moderner Cyberangreifer dar. Erstmals beobachtet im Oktober 2025, nutzt die Bedrohung Phishing-Emails mit passwortgeschützten Archiven als Einstiegspunkt. Die Sicherheitsforscher von Cisco Talos identifizierten zwei unterschiedliche Infektionsketten, die zeigen, wie anpassungsfähig die Angreifer sind.

Die erste Variante nutzt LNK-Shortcut-Dateien, die letztendlich einen Dropper namens LucidPawn bereitstellen. Die zweite Angriffskette setzt auf gefälschte Antivirus-Executables, die sich als Trend Micro Worry-Free Business Security Services ausgeben. Besonders raffiniert ist der Einsatz von Täuschungsdokumenten – Regierungsschreiben, die angeblich vom taiwanesischen Staat stammen, um die Aufmerksamkeit der Opfer abzulenken.

Das technische Herzstück von LucidRook ist jedoch die Integration eines Lua-Interpreters. Diese ungewöhnliche Architektur ermöglicht es den Angreifern, zweite Angriffsstufen als Lua-Bytecode auszuführen und zu aktualisieren. Für Cyberkriminelle bietet dieser Ansatz erhebliche Vorteile: Sie können die Malware-Funktionalität leicht anpassen, ohne den eigentlichen Code zu verändern. Gleichzeitig verbessert dies die operative Sicherheit der Angreifer erheblich – das Lua-Code kann auf dem Command-and-Control-Server nur kurz gehostet und danach gelöscht werden, was forensische Rekonstruktionen erheblich erschwert.

Nach der Installation führt LucidRook eine umfassende Systemaufklärung durch. Die Malware sammelt Informationen wie Benutzer- und Computernamen, installierte Anwendungen und laufende Prozesse. Diese Daten werden mit RSA verschlüsselt, in passwortgeschützten Archiven gespeichert und via FTP zu Servern der Angreifer übertragen.

Cisco Talos hat zudem ein verwandtes Tool namens “LucidKnight” identifiziert, das vermutlich für Aufklärungsaufgaben verwendet wird. Besonders auffällig ist die Nutzung von Gmail SMTP zur Datenexfiltration – ein Zeichen für ein flexibles Toolkit, das die Angreifer je nach Bedarf anpassen.

Die umfangreiche Verschleierung des Codes – von Zeichenketten über Dateitypen bis zu C2-Adressen – erschwert Reverse-Engineering-Bemühungen erheblich. Talos geht mit mittlerem Vertrauen davon aus, dass die Angriffe Teil einer gezielten Intrusions-Kampagne sind, konnte jedoch das vollständige Ausmaß der Post-Infection-Aktivitäten nicht vollständig aufklären, da das entschlüsselte Lua-Bytecode nicht analysiert werden konnte.

Ähnliche Artikel