LuaDream Malware tillskriven Sandman Threat Actor

En tidigare okänd hotaktör vid namn Sandman har kopplats till en serie cyberattacker riktade mot telekommunikationsleverantörer i Mellanöstern, Västeuropa och den sydasiatiska subkontinenten. Noterbart är att dessa intrång använder en just-in-time (JIT) kompilator för Lua-programmeringsspråket känt som LuaJIT för att distribuera ett nytt implantat som heter LuaDream.

Enligt en analys utförd av SentinelOnes säkerhetsforskare Aleksandar Milenkoski i samarbete med QGroup präglas de observerade aktiviteterna av strategisk lateral rörelse mot specifika riktade arbetsstationer och minimalt engagemang. Detta antyder ett medvetet tillvägagångssätt som syftar till att uppnå mål samtidigt som risken för upptäckt minimeras. Implementeringen av LuaDream indikerar ett väl genomfört, aktivt utvecklat projekt av betydande omfattning.

Sandman - en ny enhet på infosec-landskapet

Trots noggrann undersökning finns det inget känt samband mellan denna kampanj och någon känd hotaktör eller grupp. De tillgängliga bevisen tyder dock på en motståndare för cyberspionage med en preferens för att rikta sig mot telekommunikationssektorn över olika regioner. Dessa attacker upptäcktes ursprungligen under en period av flera veckor i augusti 2023.

Milenkoski förklarade vidare att LuaDreams iscensättningskedja är designad för att undvika upptäckt och hindra analys genom att direkt ladda skadlig programvara i minnet. Detta uppnås genom att utnyttja LuaJIT-plattformen, en just-in-time kompilator för Lua, vilket gör det utmanande att upptäcka skadlig Lua-skriptkod.

Närvaron av strängartefakter i implantatets källkod som går tillbaka till den 3 juni 2022 tyder på att det förberedande arbetet för LuaDream har pågått i över ett år.

Det misstänks att LuaDream är en variant av en ny skadlig kod som kallas DreamLand. Enligt säkerhetsforskare använder DreamLand skriptspråket Lua tillsammans med sin just-in-time kompilator för att köra skadlig kod som är svår att upptäcka.