SentinelLabsは、主に西ヨーロッパ、中東、南アジアの通信プロバイダーを標的とした一連のサイバー攻撃を発見しました。 Sandman と呼ばれるこの未知の攻撃者は、LuaJIT プラットフォーム上に構築された、LuaDream と呼ばれる新しいモジュール式バックドアを利用しています。 LuaDream の綿密な実装は、よく計画された大規模プロジェクトが活発に開発中であることを示しています。攻撃者の戦略的な動きと最小限の関与は、検出を回避しようとする意図的な試みを示唆しています。
LuaDream: 透明マント
LuaDream のアーキテクチャ わかりにくいように設計されているため、悪意のある Luaスクリプト コードは検出が困難です。このマルウェアはシステム情報やユーザー情報を窃取し、より標的を絞った攻撃の準備を整えることができます。また、機能を拡張する攻撃者が提供するプラグインも管理します。このマルウェアの複雑なステージング プロセスと、TCP、HTTPS、WebSocket、QUIC などの複数のプロトコルを介して通信する機能は、その高度な機能を示しています。興味深いことに、LuaDream の開発スタイルと、通常は高度な脅威アクターに関連する LuaJIT の使用により、その起源に関する疑惑が生じています。
通信データの世界的な捜索
被害者の地理的分布から、通信プロバイダーに焦点が当てられていることが明らかです。これらのプロバイダーは、機密データを保有しているため、スパイ活動の標的になることがよくあります。 SentinelLabs によって観察された活動と C2 ネットフロー データの調査は、中東、西ヨーロッパ、南アジア亜大陸などの地域を含む、広範囲の地理的標的を示しています。標的とされたセクターの性質と展開されたマルウェアの特徴を考慮すると、これらの攻撃の背後にある動機はスパイ活動である可能性が非常に高くなります。
帰属は依然として謎
Sandman APT の起源を特定することは依然として困難です。 LuaDream のハイエンド開発と不適切なセグメンテーション慣行との間に矛盾があるため、研究者らは民間請負業者または傭兵グループが関与している可能性を検討しています。 APT マルウェアのコンテキストで LuaJIT が使用されることは比較的まれですが、その採用は広がっています。 SentinelLabs は、このようなとらえどころのない脅威アクターの謎を解明することに引き続き取り組んでおり、その発見が脅威インテリジェンス研究コミュニティにおけるさらなる共同作業に拍車をかけることを期待しています。
