Вредоносное ПО LuaDream приписывают злоумышленнику Sandman
Ранее неизвестный злоумышленник по имени Sandman был связан с серией кибератак, нацеленных на операторов связи на Ближнем Востоке, в Западной Европе и на южноазиатском субконтиненте. Примечательно, что эти вторжения используют JIT-компилятор языка программирования Lua, известный как LuaJIT, для развертывания нового имплантата под названием LuaDream.
Согласно анализу, проведенному исследователем безопасности SentinelOne Александром Миленкоски в сотрудничестве с QGroup, наблюдаемые действия характеризуются стратегическим горизонтальным движением в сторону конкретных целевых рабочих станций и минимальным взаимодействием. Это предполагает продуманный подход, направленный на достижение целей при минимизации риска обнаружения. Внедрение LuaDream свидетельствует о хорошо реализованном, активно развивающемся проекте значительного масштаба.
Песочный человек — новый субъект в сфере информационной безопасности
Несмотря на тщательное расследование, не существует известной связи между этой кампанией и каким-либо известным злоумышленником или группой. Однако имеющиеся данные свидетельствуют о том, что злоумышленник, занимающийся кибершпионажем, предпочитает атаковать телекоммуникационный сектор в разных регионах. Первоначально эти атаки были обнаружены в течение нескольких недель в августе 2023 года.
Миленкоски далее пояснил, что промежуточная цепочка LuaDream предназначена для предотвращения обнаружения и затруднения анализа за счет прямой загрузки вредоносного ПО в память. Это достигается за счет использования платформы LuaJIT, оперативного компилятора для Lua, что затрудняет обнаружение вредоносного кода сценария Lua.
Наличие строковых артефактов в исходном коде имплантата, относящихся к 3 июня 2022 года, позволяет предположить, что подготовительная работа над LuaDream продолжается уже больше года.
Предполагается, что LuaDream — это вариант нового штамма вредоносного ПО, известного как DreamLand. По мнению исследователей безопасности, DreamLand использует язык сценариев Lua вместе со своим JIT-компилятором для запуска вредоносного кода, который трудно обнаружить.