LuaDream 恶意软件归因于 Sandman 威胁参与者
一个名为 Sandman 的先前未知的威胁参与者与针对中东、西欧和南亚次大陆电信提供商的一系列网络攻击有关。值得注意的是,这些入侵利用 Lua 编程语言的即时 (JIT) 编译器(称为 LuaJIT)来部署称为 LuaDream 的新植入程序。
根据 SentinelOne 安全研究员 Aleksandar Milenkoski 与 QGroup 合作进行的分析,观察到的活动的特点是向特定目标工作站进行战略横向移动和最低程度的参与。这表明我们采取了一种深思熟虑的方法,旨在实现目标,同时最大限度地降低被发现的风险。 LuaDream 的实施表明了一个执行良好、积极开发的、范围广泛的项目。
Sandman——信息安全领域的新实体
尽管进行了认真的调查,但该活动与任何已知的威胁行为者或组织之间尚无已知的关联。然而,现有证据表明网络间谍对手更倾向于针对不同地区的电信部门。这些攻击最初于 2023 年 8 月在几周内被发现。
Milenkoski 进一步解释说,LuaDream 暂存链旨在通过将恶意软件直接加载到内存中来避免检测并阻碍分析。这是通过利用 LuaJIT 平台(Lua 的即时编译器)来实现的,这使得检测恶意 Lua 脚本代码变得具有挑战性。
植入程序源代码中存在可追溯到 2022 年 6 月 3 日的字符串工件,这表明 LuaDream 的准备工作已经持续了一年多。
人们怀疑 LuaDream 是一种名为 DreamLand 的新恶意软件变种。据安全研究人员称,DreamLand利用Lua脚本语言及其即时编译器来运行难以检测的恶意代码。