Un actor de amenazas previamente indocumentado apodado hombre de arena se ha atribuido a una serie de ciberataques dirigidos a proveedores de comunicaciones de telecomunicaciones en Oriente Medio, Europa occidental y el subcontinente del sur de Asia.
En particular, las intrusiones aprovechan un compilador justo a tiempo (JIT) para el lenguaje de programación Lua conocido como LuaJIT como vehículo para implementar un nuevo implante llamado LuaDream.
«Las actividades que observamos se caracterizan por un movimiento lateral estratégico hacia estaciones de trabajo específicas y un compromiso mínimo, lo que sugiere un enfoque deliberado destinado a lograr los objetivos establecidos y al mismo tiempo minimizar el riesgo de detección», dijo el investigador de seguridad de SentinelOne, Aleksandar Milenkoski. dicho en un análisis publicado en colaboración con QGroup.
«La implementación de LuaDream indica un proyecto bien ejecutado, mantenido y desarrollado activamente a una escala considerable.»
Ni la campaña ni sus tácticas se han correlacionado con ningún actor o grupo de amenazas conocido, aunque la evidencia disponible apunta a un adversario de ciberespionaje con tendencia a apuntar al sector de las telecomunicaciones en todas las geografías. Los ataques se observaron por primera vez durante varias semanas en agosto de 2023.
«La cadena de preparación de LuaDream está diseñada para evadir la detección y frustrar el análisis mientras implementa el malware directamente en la memoria», explicó Milenkoski. «El proceso de implementación y preparación de LuaDream aprovecha la plataforma LuaJIT, el compilador justo a tiempo para el lenguaje de secuencias de comandos Lua. Esto es principalmente para hacer que el código de secuencias de comandos Lua malicioso sea difícil de detectar».
Los artefactos de cadena contenidos en el código fuente del implante hacen referencia al 3 de junio de 2022, lo que indica que el trabajo preparatorio ha estado en marcha durante más de un año.
Se sospecha que LuaDream es una variante de una nueva variedad de malware denominada DreamLand por Kaspersky en su Informe de tendencias de APT para el primer trimestre de 2023y la empresa rusa de ciberseguridad lo describe como que emplea «el lenguaje de secuencias de comandos Lua junto con su compilador Just-in-Time (JIT) para ejecutar código malicioso que es difícil de detectar».
El uso de Lua es una rareza en el panorama de amenazas, ya que se ha observado previamente en tres casos diferentes desde 2012: Fuego, Granja de animales (también conocido como GLOBO DE NIEVE), y Proyecto Sauron.
El modo exacto de acceso inicial aún no está claro, pero se ha observado que roban credenciales administrativas y realizan reconocimientos para violar estaciones de trabajo de interés y, en última instancia, entregar LuaDream.
LuaDream, una puerta trasera modular y multiprotocolo con 13 núcleos y 21 componentes de soporte, está diseñada principalmente para filtrar información del sistema y del usuario, así como para administrar complementos proporcionados por atacantes que amplían sus funciones, como la ejecución de comandos. También presenta varias capacidades anti-depuración para evadir la detección y frustrar el análisis.
La comunicación de comando y control (C2) se logra estableciendo contacto con un dominio llamado «mode.encagil[.]com» usando el Protocolo WebSocket. Pero también puede escuchar conexiones entrantes a través de protocolos TCP, HTTPS y QUIC.
Los módulos principales implementan todas las características antes mencionadas, mientras que los componentes de soporte son responsables de aumentar las capacidades de la puerta trasera para esperar conexiones basadas en la API del servidor HTTP de Windows y ejecutar comandos.
«LuaDream es una ilustración convincente de los continuos esfuerzos de innovación y avance que los actores de amenazas de ciberespionaje vierten en su arsenal de malware en constante evolución», dijo Milenkoski.
La divulgación coincide con un informe paralelo de SentinelOne que detalla intrusiones estratégicas sostenidas por parte de actores de amenazas chinos en África, incluidas aquellas dirigidas a los sectores de telecomunicaciones, finanzas y gobierno en África, como parte de grupos de actividades denominados BackdoorDiplomacy, Earth Estries y Operation Tainted Love.
Seguridad Level-Up SaaS: una guía completa para ITDR y SSPM
Manténgase a la vanguardia con conocimientos prácticos sobre cómo ITDR identifica y mitiga las amenazas. Conozca el papel indispensable de SSPM para garantizar que su identidad siga siendo inviolable.
El objetivo, dijo la compañía, es extender la influencia por todo el continente y aprovechar dichas ofensivas como parte de su agenda de poder blando.
SentinelOne dijo que detectó un compromiso de una entidad de telecomunicaciones con sede en el norte de África por parte del mismo actor de amenazas detrás de la Operación Amor Contaminado, y agregó que el momento del ataque estuvo alineado con las negociaciones privadas de la organización para una mayor expansión regional.
«Las intrusiones dirigidas por parte de la APT BackdoorDiplomacy y el grupo de amenazas que orquesta la Operación Tainted Love indican una intención nivelada dirigida a apoyar [China in its efforts to] dar forma a políticas y narrativas alineadas con sus ambiciones geoestratégicas, estableciéndose como una fuerza fundamental y definitoria en la evolución digital de África», dijo el investigador de seguridad Tom Hegel. dicho.
También se produce días después de que Cisco Talos revelara que los proveedores de servicios de telecomunicaciones en Medio Oriente son el objetivo de un nuevo conjunto de intrusiones denominado ShroudedSnooper que emplea un conjunto de puertas traseras sigilosas llamadas HTTPSnoop y PipeSnoop.