'Sandman' apunta a proveedores de telecomunicaciones en tres continentes

Un actor de amenazas previamente indocumentado apodado Sandman ha sido atribuido a un conjunto de ataques cibernéticos dirigidos a proveedores de koation de telecomunicaciones en el Medio Oriente, Europa Occidental y el subcontinente del sur de Asia.

En particular, las intrusiones aprovechan un compilador justo a tiempo (JIT) para el lenguaje de programación Lua conocido como LuaJIT como un vehículo para implementar un nuevo implante llamado LuaDream.

"Las actividades que observamos se caracterizan por un movimiento lateral estratégico a estaciones de trabajo específicas y un compromiso mínimo, lo que sugiere un enfoque deliberado destinado a lograr los objetivos establecidos y minimizar el riesgo de detección", dijo el investigador de seguridad de SentinelOne, Aleksandar Milenkoski, en un análisis publicado en colaboración con QGroup.

"La implementación de LuaDream indica un proyecto bien ejecutado, mantenido y desarrollado activamente de una escala considerable".

Ni la campaña ni sus tácticas se han correlacionado con ningún actor o grupo de amenazas conocido, aunque la evidencia disponible apunta a un adversario de espionaje cibernético con una inclinación por apuntar al sector de las telecomunicaciones en todas las geografías. Los ataques se observaron por primera vez durante varias semanas en agosto de 2023.

"La cadena de puesta en escena LuaDream está diseñada para evadir la detección y frustrar el análisis mientras se implementa el malware directamente en la memoria", explicó Milenkoski. "El proceso de implementación y puesta en escena de LuaDream aprovecha la plataforma LuaJIT, el compilador justo a tiempo para el lenguaje de scripting Lua. Esto es principalmente para hacer que el código malicioso del script Lua sea difícil de detectar".

Los artefactos de cadena contenidos en el código fuente del implante hacen referencia el 3 de junio de 2022, lo que indica que el trabajo preparatorio ha estado en marcha durante más de un año.

Se sospecha que LuaDream es una variante de una nueva cepa de malware conocida como DreamLand por Kaspersky en su informe de tendencias APT para el primer trimestre de 1, y la compañía rusa de ciberseguridad lo describe como empleando "el lenguaje de scripting Lua junto con su compilador Just-in-Time (JIT) para ejecutar código malicioso que es difícil de detectar".

El uso de Lua es algo raro en el panorama de amenazas, ya que se ha observado previamente en tres instancias diferentes desde 2012: Flame, Animal Farm (también conocido como SNOWGLOBE) y Project Sauron.


El modo exacto de acceso inicial sigue sin estar claro, pero se ha observado el robo de credenciales administrativas y la realización de reconocimientos para violar las estaciones de trabajo de interés y, en última instancia, entregar LuaDream.

Una puerta trasera modular y multiprotocolo con 13 componentes centrales y 21 de soporte, LuaDream está diseñada principalmente para filtrar información del sistema y del usuario, así como para administrar complementos proporcionados por el atacante que amplían sus características, como la ejecución de comandos. También cuenta con varias capacidades antidepuración para evadir la detección y frustrar el análisis.

La comunicación de comando y control (C2) se logra estableciendo contacto con un dominio llamado "mode.encagil[.] com" utilizando el protocolo WebSocket. Pero también puede escuchar conexiones entrantes a través de los protocolos TCP, HTTPS y QUIC.

Los módulos principales implementan todas las características mencionadas anteriormente, mientras que los componentes de soporte son responsables de aumentar las capacidades de la puerta trasera para esperar conexiones basadas en la API del servidor HTTP de Windows y ejecutar comandos.

"LuaDream se erige como una ilustración convincente de la innovación continua y los esfuerzos de avance que los actores de amenazas de ciberespionaje vierten en su arsenal de malware en constante evolución", dijo Milenkoski.

La revelación coincide con un informe paralelo de SentinelOne que detalla intrusiones estratégicas sostenidas por parte de actores de amenazas chinos en África, incluidos los dirigidos a los sectores de telecomunicaciones, finanzas y gobierno en África, como parte de grupos de actividad denominados BackdoorDiplomacy, Earth Estries y Operation Tainted Love.

El objetivo, dijo la compañía, es extender la influencia en todo el continente y aprovechar tales ofensivas como parte de su agenda de poder blando.

SentinelOne dijo que detectó un compromiso de una entidad de telecomunicaciones con sede en el norte de África por el mismo actor de amenazas detrás de la Operación Tainted Love, y agregó que el momento del ataque se alineó con las negociaciones privadas de la organización para una mayor expansión regional.

"Las intrusiones dirigidas por la APT BackdoorDiplomacy y el grupo de amenazas que orquesta la Operación Tainted Love indican una intención nivelada dirigida a apoyar [a China en sus esfuerzos para] dar forma a políticas y narrativas alineadas con sus ambiciones geoestratégicas, estableciéndose como una fuerza fundamental y definitoria en la evolución digital de África", dijo el investigador de seguridad Tom Hegel.

También se produce días después de que Cisco Talos revelara que los proveedores de servicios de telecomunicaciones en el Medio Oriente son el objetivo de un nuevo conjunto de intrusiones denominado ShroudedSnooper que emplea un conjunto de puertas traseras sigilosas llamadas HTTPSnoop y PipeSnoop.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta