Marchand de sable : menace pour les fournisseurs de télécommunications ?
- par Kenan
- , le 22 septembre 2023
- 0 h 10 min
Un acteur de la menace non documenté jusqu’à présent, surnommé Sandman, a été attribué à une série de cyberattaques visant des fournisseurs de télécommunications au Moyen-Orient, en Europe occidentale et dans le sous-continent sud-asiatique.
Les intrusions exploitent notamment un compilateur juste à temps (JIT) pour le langage de programmation Lua, connu sous le nom de LuaJIT, pour déployer un nouvel implant appelé LuaDream.
« Les activités que nous avons observées se caractérisent par un déplacement latéral stratégique vers des postes de travail spécifiques et un engagement minimal, ce qui suggère une approche délibérée visant à atteindre les objectifs fixés tout en minimisant le risque de détection », a déclaré Aleksandar Milenkoski, chercheur en sécurité chez SentinelOne, dans une analyse publiée en collaboration avec QGroup.
« La mise en œuvre de LuaDream indique un projet bien exécuté, entretenu et activement développé à une échelle considérable.
Ni la campagne ni ses tactiques n’ont été mises en corrélation avec un acteur ou un groupe de menace connu, bien que les preuves disponibles indiquent qu’il s’agit d’un adversaire de cyberespionnage ayant un penchant pour le ciblage du secteur des télécommunications dans toutes les régions du monde. Les attaques ont été observées pour la première fois pendant plusieurs semaines en août 2023.
« La chaîne de préparation de LuaDream est conçue pour échapper à la détection et à l’analyse tout en déployant le logiciel malveillant directement dans la mémoire », a expliqué M. Milenkoski. « L’implémentation de LuaDream et le processus de mise à disposition s’appuient sur la plateforme LuaJIT, le compilateur juste à temps pour le langage de script Lua. L’objectif principal est de rendre le code de script Lua malveillant difficile à détecter ».
Les artefacts de chaîne contenus dans le code source de l’implant> font référence au 3 juin 2022, ce qui indique que les travaux préparatoires sont en cours depuis plus d’un an. On soupçonne LuaDream d’être une variante d’une nouvelle souche de malware appelée DreamLand par Kaspersky dans son rapport sur les tendances APT pour le premier trimestre 2023, la société russe de cybersécurité la décrivant comme employant « le langage de script Lua en conjonction avec son compilateur Just-in-Time (JIT) pour exécuter des codes malveillants difficiles à détecter ».
L’utilisation de Lua est une rareté dans le paysage des menaces, ayant été observée dans trois cas différents depuis 2012 : Flame, Animal Farm (alias SNOWGLOBE) et Project Sauron.
Le mode exact d’accès initial reste flou, mais il a été observé en train de voler des informations d’identification administratives et de mener une reconnaissance pour pénétrer dans des postes de travail d’intérêt et finalement livrer LuaDream.
Porte dérobée modulaire et multiprotocole comprenant 13 composants principaux et 21 composants de soutien, LuaDream est principalement conçu pour exfiltrer des informations système et utilisateur ainsi que pour gérer des plugins fournis par l’attaquant qui étendent ses fonctionnalités, telles que l’exécution de commandes. Il est également doté de diverses capacités anti-débogage afin d’échapper à la détection et de contrecarrer l’analyse.
La communication de commande et de contrôle (C2) est réalisée en établissant un contact avec« mode.encagil[.]com » en utilisant< strong >le protocole WebSocket</ strong >Mais il peut également écouter les connexions entrantes sur les protocoles TCP HTTPS QUIC.< /p >
< p >Les modules de base mettent en œuvre toutes les fonctionnalités susmentionnées, tandis que les composants de soutien sont responsables de l’augmentation des capacités de la porte dérobée attendent les connexions basées sur l’API du serveur HTTP Windows exécuter des commandes.< /p >
< LuaDream est une illustration convaincante des efforts d’innovation et de progrès continus que les acteurs du cyberespionnage consacrent à leur arsenal de logiciels malveillants en constante évolution », a déclaré M. Milenkoski. < La divulgation coïncide avec un rapport parallèle de SentinelOne qui détaille des intrusions stratégiques soutenues par des acteurs chinois en Afrique, y compris celles visant les secteurs des télécommunications, de la finance et du gouvernement en Afrique, dans le cadre de groupes d’activités baptisés BackdoorDiplomacy Earth Estries Operation Tainted Love. Cette opération s’inscrit dans le cadre du programme de soft power du groupe visant à influencer et à façonner les politiques et les récits en Afrique qui sont alignés sur les ambitions géostratégiques de la Chine. Ces intrusions ciblées surviennent quelques jours après que Cisco Talos a révélé que les fournisseurs de services de télécommunications du Moyen-Orient sont la cible d’un nouvel ensemble d’intrusions baptisé ShroudedSnooper.