Un acteur malveillant jusqu’alors inconnu, surnommé « Sandman », cible les fournisseurs de services de télécommunications au Moyen-Orient, en Europe occidentale et en Asie du Sud, à l’aide d’un logiciel malveillant modulaire de vol d’informations nommé « LuaDream ».
Cette activité malveillante a été découverte par SentinelLabs en collaboration avec QGroup GmbH en août 2023, qui a nommé l’acteur malveillant et le logiciel malveillant d’après le nom interne de la porte dérobée, « client DreamLand ».
Le style opérationnel de Sandman consiste à faire profil bas pour échapper à la détection tout en effectuant des mouvements latéraux et en maintenant un accès à long terme aux systèmes piratés afin de maximiser ses opérations de cyberespionnage.
Une cible populaire
L’acteur malveillant Sandman cible les fournisseurs de services de télécommunications des sous-continents du Moyen-Orient, de l’Europe occidentale et de l’Asie du Sud.
SentinelOne affirme que l’acteur malveillant accède d’abord à un réseau d’entreprise en utilisant des informations d’identification administratives volées.
Une fois le réseau violé, Sandman a été vu en train d’utiliser des attaques « pass-the-hash » pour s’authentifier auprès des serveurs et services distants en extrayant et en réutilisant les hachages NTLM stockés en mémoire.
Le rapport SentinelLabs explique que, dans un cas, tous les postes de travail ciblés par les pirates ont été attribués à du personnel dirigeant, ce qui indique l’intérêt de l’attaquant pour des informations privilégiées ou confidentielles.
Malware LuaDream
SandMan a été vu en train de déployer un nouveau malware modulaire nommé « LuaDream » dans le cadre d’attaques utilisant le piratage de DLL sur des systèmes ciblés. Le malware tire son nom de l’utilisation du compilateur juste-à-temps LuaJIT pour le langage de script Lua.
Le malware est utilisé pour collecter des données et gérer des plugins qui étendent ses fonctionnalités, qui sont reçus du serveur de commande et de contrôle (C2) et exécutés localement sur le système compromis.
Le développement du malware semble être actif, avec une chaîne de version récupérée indiquant le numéro de version « 12.0.2.5.23.29 », et les analystes ont vu des signes de journaux et de fonctions de test remontant à juin 2022.
La mise en scène de LuaDream repose sur un processus en mémoire sophistiqué en sept étapes visant à échapper à la détection, initié par le service Windows Fax ou Spooler, qui exécute le fichier DLL malveillant.
SentinelLabs rapporte que les horodatages des fichiers DLL utilisés pour le détournement de commandes sont très proches de ceux des attaques, ce qui pourrait indiquer qu’ils ont été créés sur mesure pour des intrusions spécifiques.
Les mesures anti-analyse dans le processus de stadification comprennent :
- Dissimulation des threads de LuaDream aux débogueurs.
- Fermeture des fichiers avec un handle invalide.
- Détection des environnements sandbox basés sur Wine.
- Cartographie en mémoire pour éviter les hooks de l’API EDR et les détections basées sur les fichiers.
- Emballage du code intermédiaire avec cryptage et compression basés sur XOR.
LuaDream comprend 34 composants, avec 13 composants de base et 21 composants de support, qui utilisent le bytecode LuaJIT et l’API Windows via la bibliothèque ffi.
Les composants de base gèrent les fonctions principales du malware, telles que la collecte de données système et utilisateur, le contrôle des plugins et les communications C2, tandis que les composants de support gèrent les aspects techniques, comme la fourniture de bibliothèques Lua et de définitions d’API Windows.
Lors de l’initialisation, LuaDream se connecte à un serveur C2 (via TCP, HTTPS, WebSocket ou QUIC) et envoie les informations collectées, notamment les versions de logiciels malveillants, les adresses IP/MAC, les détails du système d’exploitation, etc.
En raison du déploiement de plugins spécifiques par les attaquants via LuaDream à chaque attaque, SentinelLabs ne dispose pas d’une liste exhaustive de tous les plugins disponibles.
Cependant, le rapport note un module nommé « cmd », dont le nom suggère qu’il donne aux attaquants des capacités d’exécution de commandes sur l’appareil compromis.
Même si certains logiciels malveillants personnalisés de Sandman et une partie de son infrastructure de serveur C2 ont été exposés, l’origine de l’auteur de la menace reste sans réponse.
Sandman rejoint une liste croissante d’attaquants avancés ciblant les entreprises de télécommunications à des fins d’espionnage, en utilisant des portes dérobées furtives uniques, difficiles à détecter et à arrêter.
Les fournisseurs de télécommunications sont une cible fréquente des activités d’espionnage en raison de la nature sensible des données qu’ils gèrent.
Plus tôt cette semaine, nous avons signalé un nouveau groupe d’activités suivi sous le nom de « ShroudedSnooper » qui utilisait deux nouvelles portes dérobées, HTTPSnoop et PipeSnoop, contre les opérateurs de télécommunications au Moyen-Orient.