Logiciel malveillant LuaDream

Un acteur malveillant émergent, jusqu'alors inconnu et nommé « Sandman », a été identifié comme l'auteur d'une série de cyberattaques qui ont spécifiquement ciblé les fournisseurs de télécommunications dans des régions couvrant le Moyen-Orient, l'Europe occidentale et le sous-continent sud-asiatique. Ces cyber-intrusions reposent sur l'utilisation d'un compilateur juste à temps (JIT) conçu pour le langage de programmation Lua, connu sous le nom de LuaJIT. Ce compilateur sert de véhicule pour déployer un logiciel menaçant nouvellement découvert, appelé « LuaDream ».

Les chercheurs ont noté que ces activités observées sont marquées par des mouvements latéraux stratégiques vers des postes de travail particuliers, soigneusement sélectionnés, avec une interaction minimale. Ce comportement suggère une approche calculée conçue pour atteindre des objectifs spécifiques tout en minimisant le risque de détection. La présence de LuaDream souligne en outre la sophistication de cette opération, indiquant qu'il s'agit d'un projet bien exécuté, activement entretenu et développé en permanence, d'une ampleur considérable.

Les cybercriminels derrière LuaDream ont utilisé une approche rare

La présence d’artefacts de cordes au sein du code source de l’implant pointe vers une chronologie significative, avec des références remontant au 3 juin 2022, suggérant que les travaux préparatoires à cette opération sont en cours depuis plus d’un an.

Le processus de préparation de LuaDream a été méticuleusement conçu pour échapper à la détection et entraver l'analyse, permettant ainsi le déploiement transparent du malware directement dans la mémoire de l'ordinateur. Cette technique de préparation s'appuie fortement sur la plateforme LuaJIT, qui est un compilateur juste à temps conçu pour le langage de script Lua. L'objectif principal est de rendre difficile la détection du code de script Lua corrompu. On soupçonne que LuaDream pourrait appartenir à une nouvelle souche de malware connue sous le nom de DreamLand.

L’utilisation de logiciels malveillants basés sur Lua est relativement rare dans le paysage des menaces, avec seulement trois cas documentés observés depuis 2012.

LuaDream est équipé de puissantes capacités de cyberespionnage

Les attaquants ont été observés en train de se livrer à une série d'activités, notamment le vol d'identifiants administratifs et des opérations de reconnaissance pour infiltrer des postes de travail spécifiques présentant un intérêt. Leur objectif ultime est de déployer LuaDream.

LuaDream est une porte dérobée modulaire et multiprotocole comprenant 13 composants principaux et 21 composants de support. Sa fonction principale est d'exfiltrer les informations du système et des utilisateurs, en plus de gérer divers plugins fournis par les attaquants qui améliorent ses capacités, telles que l'exécution de commandes. De plus, LuaDream intègre plusieurs mécanismes anti-débogage pour échapper à la détection et résister à l'analyse.

Pour établir une communication de commande et de contrôle (C2), LuaDream atteint un domaine nommé « mode.encagil.com » à l'aide du protocole WebSocket. Cependant, il a également la capacité d'accepter les connexions entrantes via les protocoles TCP, HTTPS et QUIC.

Les modules de base englobent toutes les fonctionnalités susmentionnées. Dans le même temps, les composants de support jouent un rôle crucial dans l'extension des capacités de la porte dérobée, lui permettant d'écouter les connexions basées sur l'API du serveur HTTP Windows et d'exécuter les commandes selon les besoins.

LuaDream constitue un exemple remarquable de l’engagement continu et de l’ingéniosité dont font preuve les auteurs de menaces de cyberespionnage alors qu’ils améliorent et affinent continuellement leur arsenal d’outils et de techniques menaçants. Cela met en évidence la nature dynamique et évolutive des cybermenaces dans le paysage moderne, où les attaquants s'efforcent constamment de devancer les mesures de sécurité et de maintenir leur efficacité pour infiltrer et compromettre les systèmes cibles.