LuaDream Malware tilskrevet Sandman Threat Actor

En hidtil ukendt trusselsaktør ved navn Sandman er blevet sat i forbindelse med en række cyberangreb rettet mod telekommunikationsudbydere i Mellemøsten, Vesteuropa og det sydasiatiske subkontinent. Disse indtrængen bruger især en just-in-time (JIT) compiler til Lua programmeringssproget kendt som LuaJIT til at implementere et nyt implantat kaldet LuaDream.

Ifølge en analyse udført af SentinelOne sikkerhedsforsker Aleksandar Milenkoski i samarbejde med QGroup er de observerede aktiviteter præget af strategisk lateral bevægelse mod specifikke målrettede arbejdsstationer og minimalt engagement. Dette tyder på en bevidst tilgang, der sigter mod at nå mål og samtidig minimere risikoen for opdagelse. Implementeringen af LuaDream indikerer et veludført, aktivt udviklet projekt af betydeligt omfang.

Sandman - en ny enhed på infosec-landskabet

På trods af omhyggelig efterforskning er der ingen kendt sammenhæng mellem denne kampagne og nogen kendt trusselsaktør eller gruppe. Imidlertid tyder de tilgængelige beviser på en modstander af cyberspionage med en præference for at målrette telekommunikationssektoren på tværs af forskellige regioner. Disse angreb blev oprindeligt opdaget i løbet af flere uger i august 2023.

Milenkoski forklarede yderligere, at LuaDream-staging-kæden er designet til at undgå opdagelse og hindre analyse ved direkte at indlæse malwaren i hukommelsen. Dette opnås ved at udnytte LuaJIT-platformen, en just-in-time compiler til Lua, hvilket gør det udfordrende at opdage skadelig Lua-scriptkode.

Tilstedeværelsen af strengartefakter i implantatets kildekode, der går tilbage til 3. juni 2022, tyder på, at det forberedende arbejde til LuaDream har været i gang i over et år.

Det er mistanke om, at LuaDream er en variant af en ny malware-stamme kaldet DreamLand. Ifølge sikkerhedsforskere bruger DreamLand Lua-scriptsproget sammen med dets just-in-time compiler til at køre ondsindet kode, som er svær at opdage.