「LucidRook」と呼ばれる新しいLuaベースのマルウェアが、台湾の非政府組織や大学を標的としたスピアフィッシングキャンペーンで使用されています。 **Cisco Talos**の研究者は、このマルウェアを内部でUAT-10362として追跡されている攻撃グループに帰属させており、同グループを「成熟した運用上のトレードクラフトを持つ」有能な敵対者と説明しています。 LucidRookは2025年10月の攻撃で観測されており、パスワードで保護されたアーカイブを添付したフィッシングメールを利用していました。 研究者たちは2つの感染チェーンを特定しました。1つはLNKショートカットファイルを使用し、最終的にLucidPawnと呼ばれるマルウェアドロッパーを配信しました。もう1つはEXEベースのチェーンで、**Trend Micro** Worry-Free Business Security Servicesを偽装した偽のアンチウイルス実行ファイルを利用しました。 LNKベースの攻撃は、台湾政府からのものに見せかけるように作成された政府の書簡などのデコイ文書を使用し、ユーザーの注意をそらします。  Cisco Talosは、LucidPawnが正規の実行ファイルを復号化して展開し、**Microsoft Edge**を模倣するようにリネームされたものと、LucidRookのサイドローディングのための悪意のあるDLL（DismCore.dll）を観測しました。 ## モジュール設計とLua実行 LucidRookは、そのモジュール設計と組み込みのLua実行環境が特徴であり、これによりLuaバイトコードとしてセカンドステージのペイロードを取得して実行できます。 このアプローチにより、オペレーターはコアマルウェアを変更せずに機能を更新でき、同時にフォレンジックの可視性を制限できます。コードの広範な難読化により、このステルス性はさらに高まります。 「Luaインタープリタを埋め込むことで、ネイティブDLLは事実上安定した実行プラットフォームとなり、攻撃者はLuaバイトコードペイロードをより軽量で柔軟な開発プロセスで更新することにより、各ターゲットやキャンペーンの動作を更新または調整できます」とCisco Talosは説明しています。 「このアプローチは運用上のセキュリティも向上させます。Luaステージは短時間のみホストされ、配信後にC2から削除できるため、防御者が外部配信されたLuaペイロードなしのローダーのみを回収した場合、インシデント後の再構築を妨げることができます。」 Talosはまた、バイナリが埋め込み文字列、ファイル拡張子、内部識別子、およびC2アドレス全体で高度に難読化されており、リバースエンジニアリングの努力を複雑にしていると指摘しています。 ##偵察とデータ漏洩 実行中、LucidRookはシステム偵察を実行し、ユーザー名、コンピューター名、インストールされているアプリケーション、実行中のプロセスなどの情報を収集します。 データはRSAを使用して暗号化され、パスワードで保護されたアーカイブに保存され、FTP経由で攻撃者が制御するインフラストラクチャに漏洩します。 LucidRookを調査する中で、Talosの研究者は関連ツール「LucidKnight」を特定しました。これは偵察に使用されている可能性が高いです。 LucidKnightの顕著な特徴の1つは、**Gmail** GMTPを悪用して収集されたデータを漏洩することであり、UAT-10362がさまざまな運用ニーズに対応するために柔軟なツールキットを維持していることを示唆しています。 Cisco Talosは、LucidRookの攻撃は標的型侵入キャンペーンの一部であると中程度の確信を持って結論付けています。しかし、LucidRookが取得した復号可能なLuaバイトコードをキャプチャできなかったため、感染後の具体的なアクションは不明です。