Malware LuaDream attribuito all'attore della minaccia Sandman
Un attore di minacce precedentemente sconosciuto di nome Sandman è stato collegato a una serie di attacchi informatici contro fornitori di telecomunicazioni in Medio Oriente, Europa occidentale e subcontinente dell’Asia meridionale. In particolare, queste intrusioni utilizzano un compilatore just-in-time (JIT) per il linguaggio di programmazione Lua noto come LuaJIT per implementare un nuovo impianto chiamato LuaDream.
Secondo un’analisi condotta dal ricercatore di sicurezza SentinelOne Aleksandar Milenkoski in collaborazione con QGroup, le attività osservate sono caratterizzate da movimenti laterali strategici verso specifiche postazioni di lavoro mirate e da un impegno minimo. Ciò suggerisce un approccio deliberato volto a raggiungere gli obiettivi riducendo al minimo il rischio di rilevamento. L'implementazione di LuaDream indica un progetto ben eseguito e sviluppato attivamente di portata significativa.
Sandman: una nuova entità nel panorama della sicurezza informatica
Nonostante le indagini diligenti, non esiste alcuna correlazione nota tra questa campagna e qualsiasi attore o gruppo di minacce noto. Tuttavia, le prove disponibili suggeriscono che si tratti di un avversario di spionaggio informatico che preferisce prendere di mira il settore delle telecomunicazioni in diverse regioni. Questi attacchi sono stati inizialmente rilevati nell’arco di diverse settimane nell’agosto 2023.
Milenkoski ha inoltre spiegato che la catena di staging di LuaDream è progettata per evitare il rilevamento e ostacolare l'analisi caricando direttamente il malware in memoria. Ciò si ottiene sfruttando la piattaforma LuaJIT, un compilatore just-in-time per Lua, che rende difficile rilevare il codice di script Lua dannoso.
La presenza di artefatti di stringhe nel codice sorgente dell'impianto risalenti al 3 giugno 2022, suggerisce che il lavoro preparatorio per LuaDream sia in corso da oltre un anno.
Si sospetta che LuaDream sia una variante di un nuovo ceppo di malware denominato DreamLand. Secondo i ricercatori sulla sicurezza, DreamLand utilizza il linguaggio di scripting Lua insieme al suo compilatore just-in-time per eseguire codice dannoso difficile da rilevare.
