New ‘LucidRook’ malware used in targeted attacks on NGOs, universities

Luaベースの新しいマルウェア「LucidRook」が、台湾の非政府組織や大学を標的としたスピアフィッシング・キャンペーンで使用されている。

Cisco Talosの研究者は、このマルウェアは社内でUAT-10362として追跡されている脅威グループによるものであり、「成熟した作戦技術を持つ」有能な敵対者であると説明している。

LucidRookは2025年10月、パスワードで保護されたアーカイブを送信するフィッシングメールに依存した攻撃で確認された。

Wiz

研究者は、最終的にLucidPawnと呼ばれるマルウェアドロッパーを配信するLNKショートカットファイルを使用した感染チェーンと、Trend Micro Worry-Free Business Security Servicesになりすました偽ウイルス対策実行ファイルを活用したEXEベースの感染チェーンの2つを確認しました。

LNKベースの攻撃は、台湾政府から発信されたかのように見せかけた政府文書などのおとり文書を使用し、ユーザーの注意をそらすものです。

LNK-based attack chain
LNKベースの攻撃チェーン
ソースはこちら:Cisco Talos

Cisco Talosの観測によると、LucidPawnは、LucidRookをサイドロードするための悪意のあるDLL(DismCore.dll)とともに、Microsoft Edgeを模倣するように名前を変更した正規の実行ファイルを復号化して展開します。

LucidRookの特筆すべき点は、そのモジュール設計と組み込みのLua実行環境で、セカンドステージのペイロードをLuaバイトコードとして取得し実行することができます。

このアプローチにより、操作者はコアとなるマルウェアを変更することなく機能を更新することができ、同時にフォレンジックによる可視性を制限することができます。このステルス性は、コードの広範な難読化によってさらに高められている。

「Luaインタプリタを埋め込むことで、ネイティブDLLを効果的に安定した実行プラットフォームに変えると同時に、より軽量かつ柔軟な開発プロセスでLuaバイトコードのペイロードを更新することで、脅威行為者がターゲットやキャンペーンごとに動作を更新したり調整したりできるようになります」とCisco Talosは説明しています。

「このアプローチでは、Luaステージを短期間だけホストし、配信後にC2から削除することができるため、運用上のセキュリティも向上する。

Talos社はまた、このバイナリは、埋め込まれた文字列、ファイル拡張子、内部識別子、C2アドレスに渡って高度に難読化されており、リバースエンジニアリングの取り組みを複雑にしていると指摘しています。

実行中、LucidRookはシステム偵察を行い、ユーザー名やコンピューター名、インストールされているアプリケーション、実行中のプロセスなどの情報を収集します。

データはRSAを使用して暗号化され、パスワードで保護されたアーカイブに保存され、FTP経由で攻撃者が管理するインフラに流出します。

LucidRookを調査している間に、Talosの研究者は「LucidKnight」という名前の関連ツールを特定しました。

LucidKnightの特筆すべき特徴の1つは、収集したデータを流出させるためにGmail GMTPを悪用していることで、UAT-10362がさまざまな運用ニーズに対応できる柔軟なツールキットを保持していることを示唆しています。

Cisco Talosは、LucidRook攻撃は標的型侵入キャンペーンの一部であると中程度の確信を持って結論付けています。しかし、LucidRookによってフェッチされた復号可能なLuaバイトコードをキャプチャできなかったため、感染後に実行された具体的なアクションは不明です。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 220px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}


tines

Mythosが発見した問題の99%はまだ未パッチである。

AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSのサンドボックスの両方をバイパスした。新たなエクスプロイトの波が押し寄せている。

自律的検証サミット(5月12日、14日)では、自律的でコンテキストに富んだ検証がどのように悪用可能なものを見つけ、コントロールが有効であることを証明し、修復のループを閉じるかをご覧ください。