LuaDream Malware Sandman Threat Actor-nak tulajdonítva
Egy Sandman nevű, korábban ismeretlen fenyegetettséget hoznak összefüggésbe a közel-keleti, nyugat-európai és dél-ázsiai szubkontinens távközlési szolgáltatóira irányuló kibertámadások sorozatával. Nevezetesen, ezek a behatolások a Lua programozási nyelv LuaJIT néven ismert just-in-time (JIT) fordítóját használják fel egy új LuaDream nevű implantátum telepítéséhez.
A SentinelOne biztonsági kutatója, Aleksandar Milenkoski, a QGroup-pal együttműködve végzett elemzése szerint a megfigyelt tevékenységeket stratégiai oldalirányú mozgás jellemzi a konkrét célzott munkaállomások felé és minimális elkötelezettség. Ez olyan szándékos megközelítést sugall, amelynek célja a célok elérése, miközben minimálisra csökkenti az észlelés kockázatát. A LuaDream megvalósítása egy jól végrehajtott, aktívan fejlesztett, jelentős terjedelmű projektet jelez.
Sandman – új entitás az infoszec tájon
A szorgalmas vizsgálat ellenére nincs ismert összefüggés a kampány és bármely ismert fenyegetés szereplője vagy csoportja között. A rendelkezésre álló bizonyítékok azonban azt sugallják, hogy a kiberkémkedés ellenfelei inkább a távközlési szektort célozzák meg különböző régiókban. Ezeket a támadásokat kezdetben több hét alatt, 2023 augusztusában észlelték.
Milenkoski kifejtette továbbá, hogy a LuaDream átmeneti láncot úgy tervezték, hogy elkerülje az észlelést és akadályozza az elemzést azáltal, hogy közvetlenül betölti a kártevőt a memóriába. Ezt a LuaJIT platform kihasználásával érik el, amely egy just-in-time fordító a Lua számára, és megnehezíti a rosszindulatú Lua szkriptkód észlelését.
A string műtermékek jelenléte az implantátum 2022. június 3-i forráskódjában arra utal, hogy a LuaDream előkészítő munkája már több mint egy éve folyik.
A gyanú szerint a LuaDream egy DreamLand néven emlegetett új rosszindulatú program egy változata. Biztonsági kutatók szerint a DreamLand a Lua szkriptnyelvet használja a just-in-time fordítójával együtt a nehezen észlelhető rosszindulatú kód futtatására.
