Un acteur menaçant jusqu’alors sans papiers surnommé Marchand de sable a été attribué à une série de cyberattaques ciblant les fournisseurs de services de télécommunications au Moyen-Orient, en Europe occidentale et dans le sous-continent sud-asiatique.
Notamment, les intrusions exploitent un compilateur juste à temps (JIT) pour le langage de programmation Lua, connu sous le nom de LuaJIT, comme moyen de déployer un nouvel implant appelé LuaDream.
« Les activités que nous avons observées se caractérisent par un mouvement latéral stratégique vers des postes de travail ciblés spécifiques et un engagement minimal, suggérant une approche délibérée visant à atteindre les objectifs fixés tout en minimisant le risque de détection », a déclaré Aleksandar Milenkoski, chercheur en sécurité chez SentinelOne. dit dans une analyse publiée en collaboration avec QGroup.
« La mise en œuvre de LuaDream indique un projet bien exécuté, entretenu et activement développé, d’une ampleur considérable. »
Ni la campagne ni ses tactiques n’ont été corrélées avec un acteur ou un groupe menaçant connu, bien que les preuves disponibles indiquent un adversaire de cyberespionnage ayant un penchant pour cibler le secteur des télécommunications dans toutes les zones géographiques. Les attaques ont été observées pour la première fois sur plusieurs semaines en août 2023.
« La chaîne intermédiaire LuaDream est conçue pour échapper à la détection et contrecarrer l’analyse tout en déployant le malware directement en mémoire », a expliqué Milenkoski. « Le processus de mise en œuvre et de préparation de LuaDream exploite la plateforme LuaJIT, le compilateur juste à temps pour le langage de script Lua. Il s’agit principalement de rendre le code de script Lua malveillant difficile à détecter. »
Artefacts de chaînes contenus dans le code source de l’implant faisant référence au 3 juin 2022, indiquant que les travaux préparatoires sont en cours depuis plus d’un an.
On soupçonne que LuaDream est une variante d’une nouvelle souche de malware appelée DreamLand par Kaspersky dans son Rapport sur les tendances APT pour le premier trimestre 2023la société russe de cybersécurité la décrivant comme employant « le langage de script Lua en conjonction avec son compilateur Just-in-Time (JIT) pour exécuter du code malveillant difficile à détecter ».
L’utilisation de Lua est quelque chose de rare dans le paysage des menaces, ayant déjà été observée dans trois cas différents depuis 2012 : Flamme, Animal de ferme (alias BOULE À NEIGE), et Projet Sauron.
Le mode exact d’accès initial reste flou, mais il a été observé en train de voler des informations d’identification administratives et d’effectuer des reconnaissances pour pénétrer dans des postes de travail d’intérêt et finalement livrer LuaDream.
Porte dérobée modulaire et multiprotocole avec 13 composants principaux et 21 composants de support, LuaDream est principalement conçu pour exfiltrer les informations du système et des utilisateurs, ainsi que pour gérer les plugins fournis par les attaquants qui étendent ses fonctionnalités, telles que l’exécution de commandes. Il dispose également de diverses capacités anti-débogage pour échapper à la détection et contrecarrer l’analyse.
La communication de commande et de contrôle (C2) s’effectue en établissant un contact avec un domaine nommé « mode.encagil[.]com » en utilisant le Protocole WebSocket. Mais il peut également écouter les connexions entrantes via les protocoles TCP, HTTPS et QUIC.
Les modules de base implémentent toutes les fonctionnalités mentionnées ci-dessus, tandis que les composants de support sont chargés d’augmenter les capacités de la porte dérobée pour attendre les connexions basées sur l’API du serveur HTTP Windows et exécuter des commandes.
« LuaDream constitue une illustration convaincante des efforts continus d’innovation et de progrès que les acteurs des menaces de cyberespionnage consacrent à leur arsenal de logiciels malveillants en constante évolution », a déclaré Milenkoski.
Cette divulgation coïncide avec un rapport parallèle de SentinelOne qui détaille les intrusions stratégiques soutenues des acteurs de la menace chinoise en Afrique, y compris celles visant les secteurs des télécommunications, de la finance et du gouvernement en Afrique, dans le cadre de groupes d’activités baptisés BackdoorDiplomacy, Earth Estries et Operation Tainted Love.
Niveau de sécurité SaaS : un guide complet sur l’ITDR et le SSPM
Gardez une longueur d’avance grâce à des informations exploitables sur la manière dont l’ITDR identifie et atténue les menaces. Découvrez le rôle indispensable de SSPM pour garantir que votre identité reste inviolable.
L’objectif, selon l’entreprise, est d’étendre son influence sur tout le continent et de tirer parti de telles offensives dans le cadre de son programme de soft power.
SentinelOne a déclaré avoir détecté une compromission d’une entité de télécommunications basée en Afrique du Nord par le même acteur menaçant derrière l’opération Tainted Love, ajoutant que le moment de l’attaque était aligné sur les négociations privées de l’organisation pour une nouvelle expansion régionale.
« Les intrusions ciblées de l’APT BackdoorDiplomacy et du groupe menaçant orchestrant l’opération Tainted Love indiquent une intention de niveau visant à soutenir [China in its efforts to] façonner des politiques et des discours alignés sur ses ambitions géostratégiques, s’imposant comme une force centrale et déterminante dans l’évolution numérique de l’Afrique », a déclaré le chercheur en sécurité Tom Hegel. dit.
Cela survient également quelques jours après que Cisco Talos a révélé que les fournisseurs de services de télécommunications du Moyen-Orient sont la cible d’un nouvel ensemble d’intrusions baptisé ShroudedSnooper qui utilise un ensemble de portes dérobées furtives appelées HTTPSnoop et PipeSnoop.