Un attore minaccioso precedentemente non documentato, denominato “Sandman”, è stato collegato a una serie di attacchi informatici che mirano ai fornitori di telecomunicazioni in Medio Oriente, Europa occidentale e subcontinente dell’Asia meridionale. Questi attacchi utilizzano un compilatore just-in-time (JIT) per il linguaggio di programmazione Lua, noto come LuaJIT, per distribuire un nuovo impianto chiamato “LuaDream”.
Dettagli dell’attacco
Gli attacchi sono caratterizzati da movimenti laterali strategici verso specifiche postazioni di lavoro bersaglio e da un minimo coinvolgimento. Questo suggerisce un approccio deliberato volto a raggiungere gli obiettivi stabiliti minimizzando il rischio di rilevamento. L’implementazione di LuaDream indica un progetto ben eseguito, mantenuto e attivamente sviluppato su larga scala.
Gli attacchi sono stati osservati per la prima volta nel corso di diverse settimane nell’agosto 2023. La catena di staging di LuaDream è progettata per eludere il rilevamento e ostacolare l’analisi, distribuendo il malware direttamente nella memoria. Questo è principalmente per rendere il codice dello script Lua maligno difficile da rilevare.
Collegamenti con altre minacce
Si sospetta che LuaDream sia una variante di una nuova ceppo di malware denominato DreamLand da Kaspersky nel suo rapporto sulle tendenze APT per il Q1 2023. L’uso di Lua è qualcosa di raro nel panorama delle minacce, essendo stato precedentemente osservato in tre diverse istanze dal 2012: Flame, Animal Farm (anche noto come SNOWGLOBE) e Project Sauron.
Caratteristiche di LuaDream
LuaDream è una backdoor modulare e multi-protocollo con 13 componenti principali e 21 componenti di supporto. È progettato principalmente per esfiltrare informazioni di sistema e dell’utente e per gestire plugin forniti dall’attaccante che ampliano le sue funzionalità, come l’esecuzione di comandi. Ha anche varie capacità anti-debugging per eludere il rilevamento e ostacolare l’analisi.
Mentre Sandman emerge come una nuova minaccia, gli attori minacciosi continuano a evolversi e ad adattarsi, sfruttando nuove tecniche e strumenti per raggiungere i loro obiettivi. La rivelazione di Sandman sottolinea l’importanza di rimanere vigili e aggiornati sulle ultime minacce e vulnerabilità.