LuaDream 惡意軟體歸因於 Sandman 威脅參與者
一個名為 Sandman 的先前未知的威脅參與者與針對中東、西歐和南亞次大陸電信提供商的一系列網路攻擊有關。值得注意的是,這些入侵利用 Lua 程式語言的即時 (JIT) 編譯器(稱為 LuaJIT)來部署稱為 LuaDream 的新植入程式。
根據 SentinelOne 安全研究員 Aleksandar Milenkoski 與 QGroup 合作進行的分析,觀察到的活動的特點是向特定目標工作站進行戰略橫向移動和最低程度的參與。這表明我們採取了一種深思熟慮的方法,旨在實現目標,同時最大限度地降低被發現的風險。 LuaDream 的實施顯示了一個執行良好、積極開發的、廣泛的專案。
Sandman-資訊安全領域的新實體
儘管進行了認真的調查,但該活動與任何已知的威脅行為者或組織之間尚無已知的關聯。然而,現有證據顯示網路間諜對手更傾向於針對不同地區的電信部門。這些攻擊最初於 2023 年 8 月在幾週內被發現。
Milenkoski 進一步解釋說,LuaDream 暫存鏈旨在透過將惡意軟體直接載入記憶體來避免偵測並阻礙分析。這是透過利用 LuaJIT 平台(Lua 的即時編譯器)來實現的,這使得檢測惡意 Lua 腳本程式碼變得具有挑戰性。
植入程式原始碼中存在可追溯到 2022 年 6 月 3 日的字串工件,這表明 LuaDream 的準備工作已經持續了一年多。
人們懷疑 LuaDream 是一種名為 DreamLand 的新惡意軟體變種。據安全研究人員稱,DreamLand利用Lua腳本語言及其即時編譯器來運行難以檢測的惡意程式碼。