Clicky

El misterioso actor de amenazas 'Sandman' apunta a proveedores de telecomunicaciones en tres continentes

Sandman

Los ataques se observaron por primera vez durante varias semanas en agosto de 2023

Un actor de amenazas previamente indocumentado llamado Sandman ha sido atribuido a una serie de ataques cibernéticos dirigidos a proveedores de telecomunicaciones en Medio Oriente, Europa Occidental y el subcontinente del sur de Asia.

En particular, las intrusiones aprovechan un compilador en tiempo de ejecución (JIT) para el lenguaje de programación Lua conocido como LuaJIT como vehículo para implementar un nuevo implante llamado LuaDream.

"Las actividades que observamos se caracterizan por un movimiento lateral estratégico a estaciones de trabajo específicas y una participación mínima, sugieren un enfoque deliberado destinado a lograr los objetivos establecidos minimizando al mismo tiempo el riesgo de detección", dijo el investigador de seguridad de SentinelOne, Aleksandar Milenkoski, en un análisis publicado en colaboración con QGroup.

"La implementación de LuaDream indica un proyecto bien ejecutado, mantenido y desarrollado activamente a una escala considerable."

Ni la campaña ni sus tácticas se han correlacionado con ningún actor o grupo de amenazas conocido, aunque la evidencia disponible apunta a un adversario de ciberespionaje con tendencia a apuntar al sector de las telecomunicaciones en todas las geografías. Los ataques se observaron por primera vez durante varias semanas en agosto de 2023.

"La cadena de preparación de LuaDream está diseñada para evadir la detección y frustrar el análisis mientras implementa el malware directamente en la memoria", explicó Milenkoski. "El proceso de implementación y preparación de LuaDream aprovecha la plataforma LuaJIT, el compilador en tiempo de ejecución para el lenguaje de secuencias de comandos Lua. Esto es principalmente para hacer que el código de secuencias de comandos Lua malicioso sea difícil de detectar".

Los artefactos de cadena contenidos en el código fuente del implante hacen referencia al 3 de junio de 2022, lo que indica que el trabajo preparatorio ha estado en marcha durante más de un año.

Se sospecha que LuaDream es una variante de una nueva cepa de malware a la que Kaspersky denomina DreamLand en su informe de tendencias APT para el primer trimestre de 2023, y la empresa rusa de ciberseguridad lo describe como que emplea "el lenguaje de programación Lua junto con su compilador en tiempo de ejecución (JIT) para ejecutar código malicioso que es difícil de detectar".

El uso de malware basado en Lua es una rareza en el panorama de amenazas, ya que anteriormente se había observado solo en tres casos diferentes desde 2012: Flame, Animal Farm (también conocido como SNOWGLOBE) y Project Sauron.

detalle de Sandman

Aún no está claro el modo exacto de acceso inicial, pero se ha observado que roban credenciales administrativas y realizan reconocimientos para abrir una brecha en estaciones de trabajo de interés y, en última instancia, entregar LuaDream.

Una puerta trasera modular multiprotocolo con 13 componentes centrales y 21 de soporte, LuaDream está diseñado principalmente para filtrar información del sistema y del usuario, así como para administrar plugins proporcionados por atacantes que amplían sus funciones, como la ejecución de comandos. También presenta varias capacidades anti-depuración para evadir la detección y frustrar el análisis.

La comunicación de comando y control (C2) se logra estableciendo contacto con un dominio llamado "mode.encagil[.]com" utilizando el protocolo WebSocket. Pero también puede escuchar conexiones entrantes a través de protocolos TCP, HTTPS y QUIC.

Los módulos principales implementan todas las características antes mencionadas, mientras que los componentes de soporte son responsables de aumentar las capacidades de la puerta trasera para esperar conexiones basadas en la API del servidor HTTP de Windows y ejecutar comandos.

"LuaDream es una convincente ilustración de los continuos esfuerzos de innovación y avance que los actores de amenazas de ciberespionaje vierten en su arsenal de malware en constante evolución", dijo Milenkoski.

La divulgación coincide con un informe paralelo de SentinelOne que detalla las intrusiones estratégicas sostenidas por parte de actores de amenazas chinos en África, incluidos aquellos dirigidos a los sectores de telecomunicaciones, finanzas y gobierno en África, como parte de grupos de actividades denominados BackdoorDiplomacy, Earth Estries y Operation Tainted Love.

El objetivo, dijo la compañía, es extender la influencia por todo el continente y aprovechar dichas ofensivas como parte de su agenda de poder blando.

SentinelOne dijo que detectó un compromiso de una entidad de telecomunicaciones con sede en el norte de África por parte del mismo actor de amenazas detrás de la Operación Tainted Love, y agregó que el momento del ataque estuvo alineado con las negociaciones privadas de la organización para una mayor expansión regional.

"Las intrusiones dirigidas por parte de la APT BackdoorDiplomacy y el grupo de amenazas que orquesta la Operación Tainted Love indican una intención nivelada dirigida a apoyar [a China en sus esfuerzos por] dar forma a sus políticas y narrativas alineadas con sus ambiciones geoestratégicas, estableciéndose como una fuerza fundamental y definitoria en la evolución digital de África", dijo el investigador de seguridad Tom Hegel.

También se produce días después de que Cisco Talos revelara que los proveedores de servicios de telecomunicaciones en Medio Oriente son el objetivo de un nuevo conjunto de intrusiones denominado ShroudedSnooper que emplea un conjunto de puertas traseras sigilosas llamadas HTTPSnoop y PipeSnoop.

Jesus_Caceres