Daha önce belgelenmemiş bir tehdit aktörü Kum Adam Orta Doğu, Batı Avrupa ve Güney Asya alt kıtasındaki telekomünikasyon koation sağlayıcılarını hedef alan bir dizi siber saldırıya atfedildi.
Özellikle, izinsiz girişler, LuaJIT olarak bilinen Lua programlama dili için tam zamanında (JIT) derleyiciyi, LuaJIT adı verilen yeni bir implantı dağıtmak için bir araç olarak kullanıyor. LuaDream.
SentinelOne güvenlik araştırmacısı Aleksandar Milenkoski, “Gözlemlediğimiz faaliyetler, belirli hedeflenen iş istasyonlarına doğru stratejik yanal hareket ve minimum katılımla karakterize ediliyor; bu da tespit riskini en aza indirirken belirlenen hedeflere ulaşmayı amaçlayan kasıtlı bir yaklaşımı akla getiriyor.” söz konusu QGroup ile işbirliği içinde yayınlanan bir analizde.
“LuaDream’in uygulanması, iyi yürütülen, sürdürülen ve aktif olarak geliştirilen, önemli ölçekte bir projeye işaret ediyor.”
Ne kampanya ne de taktikleri bilinen herhangi bir tehdit aktörü veya grubuyla ilişkilendirilmedi; ancak mevcut kanıtlar, çeşitli coğrafyalarda telekom sektörünü hedefleme eğiliminde olan bir siber casusluk düşmanına işaret ediyor. Saldırılar ilk olarak Ağustos 2023’te birkaç hafta boyunca gözlemlendi.
Milenkoski, “LuaDream hazırlama zinciri, kötü amaçlı yazılımı doğrudan belleğe dağıtırken tespitten kaçınmak ve analizi engellemek için tasarlandı.” diye açıkladı. “LuaDream’in uygulama ve hazırlama süreci, Lua kodlama dilinin tam zamanında derleyicisi olan LuaJIT platformunu kullanıyor. Bunun amacı öncelikle kötü amaçlı Lua komut dosyası kodunun tespit edilmesini zorlaştırmak.”
İmplantın kaynak kodu referansı olan 3 Haziran 2022’de yer alan dize eserleri, hazırlık çalışmalarının bir yıldan fazla süredir devam ettiğini gösteriyor.
LuaDream’in, Kaspersky’nin DreamLand olarak adlandırdığı yeni bir kötü amaçlı yazılım türünün bir çeşidi olduğundan şüpheleniliyor. 2023’ün ilk çeyreği için APT trend raporuRus siber güvenlik şirketi bunu “algılanması zor olan kötü amaçlı kodları yürütmek için Lua komut dosyası dilini Tam Zamanında (JIT) derleyicisiyle birlikte kullandığını” açıkladı.
Lua’nın kullanımı, 2012’den bu yana üç farklı durumda gözlemlenen, tehdit ortamında nadir görülen bir durumdur: Alev, Hayvan Çiftliği (diğer adıyla KAR KÜRESİ), Ve Sauron Projesi.
İlk erişimin tam modu belirsizliğini koruyor ancak idari kimlik bilgilerinin çalındığı ve ilgilenilen iş istasyonlarını ihlal etmek ve sonuçta LuaDream’i teslim etmek için keşif yapıldığı gözlemlendi.
13 çekirdek ve 21 destek bileşenine sahip modüler, çok protokollü bir arka kapı olan LuaDream, öncelikle sistem ve kullanıcı bilgilerini sızdırmanın yanı sıra komut yürütme gibi özelliklerini genişleten saldırgan tarafından sağlanan eklentileri yönetmek için tasarlanmıştır. Ayrıca tespitten kaçınmak ve analizi engellemek için çeşitli hata ayıklama önleme özelliklerine de sahiptir.
Komuta ve kontrol (C2) iletişimi, “mode.encagil” adlı bir alanla bağlantı kurularak gerçekleştirilir.[.]com”u kullanarak WebSocket protokolü. Ancak aynı zamanda TCP, HTTPS ve QUIC protokolleri üzerinden gelen bağlantıları da dinleyebilir.
Çekirdek modüller yukarıda belirtilen özelliklerin tümünü uygularken, destek bileşenleri arka kapının Windows HTTP sunucusu API’sine dayalı bağlantıları beklemek ve komutları yürütmek için yeteneklerini artırmaktan sorumludur.
Milenkoski, “LuaDream, siber casusluk tehdit aktörlerinin sürekli gelişen kötü amaçlı yazılım cephaneliğine akıttıkları sürekli yenilik ve ilerleme çabalarının ilgi çekici bir örneği olarak duruyor” dedi.
Açıklama, SentinelOne’ın, Backdoor Diplomacy, Earth Estries ve Tainted Love Operasyonu adlı faaliyet kümelerinin bir parçası olarak Afrika’daki telekomünikasyon, finans ve hükümet sektörlerini hedefleyenler de dahil olmak üzere Çinli tehdit aktörlerinin Afrika’daki sürekli stratejik saldırılarını detaylandıran paralel bir raporuyla örtüşüyor.
SaaS Güvenliğini Yükseltme: ITDR ve SSPM için Kapsamlı Bir Kılavuz
ITDR’nin tehditleri nasıl tanımlayıp azalttığına ilişkin eyleme geçirilebilir bilgilerle bir adım önde olun. Kimliğinizin ihlal edilemez kalmasını sağlamada SSPM’nin vazgeçilmez rolü hakkında bilgi edinin.
Şirket, amacının kıta genelinde etki alanını genişletmek ve yumuşak güç gündeminin bir parçası olarak bu tür saldırılardan yararlanmak olduğunu söyledi.
SentinelOne, Kuzey Afrika merkezli bir telekomünikasyon kuruluşunun, Tainted Love Operasyonu’nun arkasındaki aynı tehdit aktörü tarafından ele geçirildiğini tespit ettiğini belirterek, saldırının zamanlamasının, örgütün daha fazla bölgesel genişleme için yaptığı özel müzakerelerle uyumlu olduğunu ekledi.
“BackdoorDiplomacy APT ve Tainted Love Operasyonunu yöneten tehdit grubu tarafından hedeflenen saldırılar, destek sağlamaya yönelik seviyeli bir niyeti gösteriyor [China in its efforts to] Güvenlik araştırmacısı Tom Hegel, kendisini Afrika’nın dijital evriminde önemli ve tanımlayıcı bir güç olarak konumlandırarak, jeostratejik hedefleriyle uyumlu politikaları ve anlatıları şekillendiriyor.” söz konusu.
Bu aynı zamanda Cisco Talos’un Orta Doğu’daki telekomünikasyon hizmet sağlayıcılarının, HTTPSnoop ve PipeSnoop adı verilen bir dizi gizli arka kapı kullanan ShroudedSnooper adlı yeni bir izinsiz giriş grubunun hedefi olduğunu açıklamasından birkaç gün sonra geldi.