Le logiciel malveillant LuaDream attribué à l'acteur de menace Sandman
Un acteur malveillant jusqu'alors inconnu nommé Sandman a été associé à une série de cyberattaques ciblant les fournisseurs de télécommunications au Moyen-Orient, en Europe occidentale et dans le sous-continent sud-asiatique. Notamment, ces intrusions utilisent un compilateur juste à temps (JIT) pour le langage de programmation Lua connu sous le nom de LuaJIT pour déployer un nouvel implant appelé LuaDream.
Selon une analyse menée par Aleksandar Milenkoski, chercheur en sécurité chez SentinelOne en collaboration avec QGroup, les activités observées sont marquées par un mouvement latéral stratégique vers des postes de travail ciblés spécifiques et un engagement minimal. Cela suggère une approche délibérée visant à atteindre les objectifs tout en minimisant le risque de détection. La mise en œuvre de LuaDream indique un projet bien exécuté et activement développé, d'une portée significative.
Sandman - une nouvelle entité dans le paysage de la sécurité de l'information
Malgré une enquête diligente, il n’existe aucune corrélation connue entre cette campagne et un quelconque acteur ou groupe menaçant connu. Toutefois, les éléments de preuve disponibles suggèrent qu’il s’agit d’un adversaire du cyberespionnage qui préfère cibler le secteur des télécommunications dans différentes régions. Ces attaques ont été initialement détectées sur une période de plusieurs semaines en août 2023.
Milenkoski a en outre expliqué que la chaîne intermédiaire de LuaDream est conçue pour éviter la détection et entraver l'analyse en chargeant directement le logiciel malveillant en mémoire. Ceci est réalisé en tirant parti de la plateforme LuaJIT, un compilateur juste à temps pour Lua, ce qui rend difficile la détection du code de script Lua malveillant.
La présence d'artefacts de cordes dans le code source de l'implant remontant au 3 juin 2022 suggère que les travaux préparatoires de LuaDream sont en cours depuis plus d'un an.
On soupçonne que LuaDream est une variante d'une nouvelle souche de malware appelée DreamLand. Selon les chercheurs en sécurité, DreamLand utilise le langage de script Lua avec son compilateur juste à temps pour exécuter du code malveillant difficile à détecter.