Złośliwe oprogramowanie LuaDream przypisane podmiotowi stanowiącemu zagrożenie Sandman

Nieznany wcześniej ugrupowanie zagrażające o imieniu Sandman zostało powiązane z serią cyberataków wymierzonych w dostawców usług telekomunikacyjnych na Bliskim Wschodzie, w Europie Zachodniej i na subkontynencie Azji Południowej. Warto zauważyć, że włamania te wykorzystują kompilator just-in-time (JIT) dla języka programowania Lua znanego jako LuaJIT w celu wdrożenia nowego implantu o nazwie LuaDream.

Według analizy przeprowadzonej przez badacza bezpieczeństwa SentinelOne Aleksandara Milenkoskiego we współpracy z QGroup, obserwowane działania charakteryzują się strategicznym ruchem bocznym w kierunku określonych docelowych stacji roboczych i minimalnym zaangażowaniem. Sugeruje to przemyślane podejście ukierunkowane na osiągnięcie celów przy jednoczesnej minimalizacji ryzyka wykrycia. Wdrożenie LuaDream wskazuje na dobrze wykonany, aktywnie rozwijany projekt o znaczącym zakresie.

Sandman – nowy podmiot w krajobrazie infosec

Pomimo starannego dochodzenia nie ma znanej korelacji między tą kampanią a jakimkolwiek znanym ugrupowaniem lub grupą stanowiącą zagrożenie. Dostępne dowody wskazują jednak, że przeciwnik cyberszpiegostwa woli atakować sektor telekomunikacyjny w różnych regionach. Ataki te zostały początkowo wykryte na przestrzeni kilku tygodni w sierpniu 2023 r.

Milenkoski wyjaśnił dalej, że łańcuch testowy LuaDream został zaprojektowany tak, aby unikać wykrycia i utrudniać analizę poprzez bezpośrednie ładowanie szkodliwego oprogramowania do pamięci. Osiąga się to poprzez wykorzystanie platformy LuaJIT, kompilatora Just-in-time dla Lua, co utrudnia wykrycie złośliwego kodu skryptu Lua.

Obecność artefaktów ciągowych w kodzie źródłowym implantu z dnia 3 czerwca 2022 roku sugeruje, że prace przygotowawcze nad LuaDream trwają już ponad rok.

Podejrzewa się, że LuaDream jest odmianą nowego szczepu złośliwego oprogramowania zwanego DreamLand. Według badaczy bezpieczeństwa DreamLand wykorzystuje język skryptowy Lua wraz z kompilatorem just-in-time do uruchamiania złośliwego kodu, który jest trudny do wykrycia.