LuaDream-malware toegeschreven aan Sandman Threat Actor
Een voorheen onbekende bedreigingsacteur genaamd Sandman is in verband gebracht met een reeks cyberaanvallen gericht op telecommunicatieaanbieders in het Midden-Oosten, West-Europa en het Zuid-Aziatische subcontinent. Deze inbraken maken met name gebruik van een just-in-time (JIT) compiler voor de Lua-programmeertaal, bekend als LuaJIT, om een nieuw implantaat genaamd LuaDream te implementeren.
Volgens een analyse uitgevoerd door SentinelOne-beveiligingsonderzoeker Aleksandar Milenkoski in samenwerking met QGroup, worden de waargenomen activiteiten gekenmerkt door strategische zijwaartse bewegingen naar specifieke gerichte werkstations en minimale betrokkenheid. Dit suggereert een doelbewuste aanpak gericht op het bereiken van doelstellingen en het minimaliseren van het risico op detectie. De implementatie van LuaDream duidt op een goed uitgevoerd, actief ontwikkeld project van aanzienlijke omvang.
Sandman - een nieuwe entiteit in het infosec-landschap
Ondanks zorgvuldig onderzoek is er geen correlatie bekend tussen deze campagne en enige bekende dreigingsactoren of -groep. Het beschikbare bewijs wijst er echter op dat er sprake is van een tegenstander van cyberspionage, die er de voorkeur aan geeft zich op de telecommunicatiesector in verschillende regio's te richten. Deze aanvallen werden aanvankelijk in augustus 2023 gedurende een aantal weken gedetecteerd.
Milenkoski legde verder uit dat de LuaDream-stagingketen is ontworpen om detectie te voorkomen en analyse te belemmeren door de malware rechtstreeks in het geheugen te laden. Dit wordt bereikt door gebruik te maken van het LuaJIT-platform, een just-in-time-compiler voor Lua, waardoor het een uitdaging wordt om kwaadaardige Lua-scriptcode te detecteren.
De aanwezigheid van stringartefacten in de broncode van het implantaat die teruggaan tot 3 juni 2022 suggereert dat het voorbereidende werk voor LuaDream al meer dan een jaar aan de gang is.
Er wordt vermoed dat LuaDream een variant is van een nieuwe malwaresoort genaamd DreamLand. Volgens beveiligingsonderzoekers gebruikt DreamLand de Lua-scripttaal samen met de just-in-time-compiler om kwaadaardige code uit te voeren die moeilijk te detecteren is.
