Malware LuaDream atribuído ao ator de ameaças Sandman
Um ator de ameaça até então desconhecido, chamado Sandman, foi associado a uma série de ataques cibernéticos contra provedores de telecomunicações no Oriente Médio, na Europa Ocidental e no subcontinente do Sul da Ásia. Notavelmente, essas invasões utilizam um compilador just-in-time (JIT) para a linguagem de programação Lua conhecido como LuaJIT para implantar um novo implante chamado LuaDream.
De acordo com uma análise conduzida pelo pesquisador de segurança da SentinelOne, Aleksandar Milenkoski, em colaboração com o QGroup, as atividades observadas são marcadas por um movimento lateral estratégico em direção a estações de trabalho específicas e envolvimento mínimo. Isto sugere uma abordagem deliberada destinada a atingir os objectivos, minimizando ao mesmo tempo o risco de detecção. A implementação do LuaDream indica um projeto bem executado, desenvolvido ativamente e de escopo significativo.
Sandman – uma nova entidade no cenário da infosec
Apesar da investigação diligente, não há correlação conhecida entre esta campanha e qualquer ator ou grupo de ameaça conhecido. No entanto, os dados disponíveis sugerem um adversário da espionagem cibernética com preferência por visar o sector das telecomunicações em diferentes regiões. Esses ataques foram inicialmente detectados durante várias semanas em agosto de 2023.
Milenkoski explicou ainda que a cadeia de teste LuaDream foi projetada para evitar a detecção e dificultar a análise, carregando diretamente o malware na memória. Isso é conseguido aproveitando a plataforma LuaJIT, um compilador just-in-time para Lua, tornando um desafio detectar código de script Lua malicioso.
A presença de artefatos de string no código-fonte do implante que datam de 3 de junho de 2022 sugere que o trabalho preparatório para LuaDream está em andamento há mais de um ano.
Suspeita-se que LuaDream seja uma variante de uma nova cepa de malware conhecida como DreamLand. De acordo com pesquisadores de segurança, o DreamLand utiliza a linguagem de script Lua junto com seu compilador just-in-time para executar códigos maliciosos difíceis de detectar.
