LuaDream Malware που αποδίδεται στον Sandman Threat Actor
Ένας μέχρι πρότινος άγνωστος παράγοντας απειλών, ονόματι Sandman, έχει συνδεθεί με μια σειρά κυβερνοεπιθέσεων που στοχεύουν παρόχους τηλεπικοινωνιών στη Μέση Ανατολή, τη Δυτική Ευρώπη και τη Νότια Ασιατική υποήπειρο. Συγκεκριμένα, αυτές οι εισβολές χρησιμοποιούν έναν μεταγλωττιστή just-in-time (JIT) για τη γλώσσα προγραμματισμού Lua, γνωστή ως LuaJIT, για να αναπτύξουν ένα νέο εμφύτευμα που ονομάζεται LuaDream.
Σύμφωνα με μια ανάλυση που διεξήχθη από τον ερευνητή ασφάλειας SentinelOne, Aleksandar Milenkoski σε συνεργασία με την QGroup, οι παρατηρούμενες δραστηριότητες χαρακτηρίζονται από στρατηγική πλευρική κίνηση προς συγκεκριμένους στοχευμένους σταθμούς εργασίας και ελάχιστη εμπλοκή. Αυτό υποδηλώνει μια σκόπιμη προσέγγιση με στόχο την επίτευξη στόχων, ελαχιστοποιώντας παράλληλα τον κίνδυνο ανίχνευσης. Η υλοποίηση του LuaDream υποδεικνύει ένα καλά εκτελεσμένο, ενεργά ανεπτυγμένο έργο σημαντικής εμβέλειας.
Sandman - μια νέα οντότητα στο τοπίο infosec
Παρά την επιμελή έρευνα, δεν υπάρχει γνωστή συσχέτιση μεταξύ αυτής της εκστρατείας και οποιουδήποτε γνωστού παράγοντα ή ομάδας απειλής. Ωστόσο, τα διαθέσιμα στοιχεία υποδηλώνουν έναν αντίπαλο κατασκοπείας στον κυβερνοχώρο με προτίμηση να στοχεύει τον τομέα των τηλεπικοινωνιών σε διαφορετικές περιοχές. Αυτές οι επιθέσεις εντοπίστηκαν αρχικά σε διάστημα αρκετών εβδομάδων τον Αύγουστο του 2023.
Ο Milenkoski εξήγησε περαιτέρω ότι η αλυσίδα σταδιοποίησης LuaDream έχει σχεδιαστεί για να αποφεύγει τον εντοπισμό και να εμποδίζει την ανάλυση φορτώνοντας απευθείας το κακόβουλο λογισμικό στη μνήμη. Αυτό επιτυγχάνεται με την αξιοποίηση της πλατφόρμας LuaJIT, ενός μεταγλωττιστή ακριβώς στην ώρα του Lua, καθιστώντας δύσκολη την ανίχνευση κακόβουλου κώδικα σεναρίου Lua.
Η παρουσία τεχνουργημάτων χορδών στον πηγαίο κώδικα του εμφυτεύματος που χρονολογείται από τις 3 Ιουνίου 2022, υποδηλώνει ότι οι προπαρασκευαστικές εργασίες για το LuaDream συνεχίζονται για περισσότερο από ένα χρόνο.
Υποπτεύεται ότι το LuaDream είναι μια παραλλαγή ενός νέου τύπου κακόβουλου λογισμικού που αναφέρεται ως DreamLand. Σύμφωνα με ερευνητές ασφαλείας, η DreamLand χρησιμοποιεί τη γλώσσα δέσμης ενεργειών Lua μαζί με τον μεταγλωττιστή της που είναι εγκαίρως για να εκτελέσει κακόβουλο κώδικα που είναι δύσκολο να εντοπιστεί.