LuaDream Malware tilskrevet Sandman Threat Actor

En tidligere ukjent trusselaktør ved navn Sandman har blitt knyttet til en rekke nettangrep rettet mot telekommunikasjonsleverandører i Midtøsten, Vest-Europa og det sørasiatiske subkontinentet. Spesielt bruker disse inntrengningene en just-in-time (JIT) kompilator for Lua programmeringsspråket kjent som LuaJIT for å distribuere et nytt implantat kalt LuaDream.

I følge en analyse utført av SentinelOne sikkerhetsforsker Aleksandar Milenkoski i samarbeid med QGroup, er de observerte aktivitetene preget av strategisk sideveis bevegelse mot spesifikke målrettede arbeidsstasjoner og minimalt engasjement. Dette antyder en bevisst tilnærming rettet mot å oppnå mål og samtidig minimere risikoen for oppdagelse. Implementeringen av LuaDream indikerer et godt utført, aktivt utviklet prosjekt av betydelig omfang.

Sandman - en ny enhet i infosec-landskapet

Til tross for iherdig etterforskning, er det ingen kjent sammenheng mellom denne kampanjen og noen kjent trusselaktør eller gruppe. Imidlertid tyder de tilgjengelige bevisene på en cyberspionasjemotstander med en preferanse for å målrette telekommunikasjonssektoren på tvers av forskjellige regioner. Disse angrepene ble opprinnelig oppdaget i løpet av flere uker i august 2023.

Milenkoski forklarte videre at LuaDream-staging-kjeden er designet for å unngå oppdagelse og hindre analyse ved å laste skadevaren direkte inn i minnet. Dette oppnås ved å utnytte LuaJIT-plattformen, en just-in-time kompilator for Lua, noe som gjør det utfordrende å oppdage skadelig Lua-skriptkode.

Tilstedeværelsen av strengartefakter i implantatets kildekode som dateres tilbake til 3. juni 2022, antyder at det forberedende arbeidet for LuaDream har pågått i over et år.

Det er mistanke om at LuaDream er en variant av en ny malware-stamme referert til som DreamLand. Ifølge sikkerhetsforskere bruker DreamLand Lua-skriptspråket sammen med sin just-in-time kompilator for å kjøre ondsinnet kode som er vanskelig å oppdage.