لاحظت شركة SentinelLabs بالتعاون مع شركة QGroup GmbH، خلال أغسطس 2023 مجموعة من أنشطة التهديد التي تستهدف قطاع الاتصالات في الشرق الأوسط تم تنفيذ الأنشطة من قبل جهة تهديد مجهولة المصدر باستخدام باب خلفي معياري جديد يعتمد على منصة LuaJIT.
أطلقت SentinelLabs على ممثل التهديد هذا اسم Sandman وLuaDream، في إشارة إلى ما يشتبه في أنه الاسم الداخلي للباب الخلفي (عميل DreamLand).
تتميز الأنشطة التي تمت ملاحظتها بالحركة الجانبية الإستراتيجية إلى محطات عمل مستهدفة محددة والحد الأدنى من المشاركة، مما يشير إلى نهج متعمد يهدف إلى الوصول للأهداف المحددة مع تقليل مخاطر الكشف.
يشير تنفيذ LuaDream وبنيته إلى مشروع تم صيانته وإصدار نشط قيد التطوير وهو باب خلفي معياري ومتعدد البروتوكولات وتتمثل وظائفه الرئيسية في استخراج معلومات النظام والمستخدم، مما يمهد الطريق لمزيد من الهجمات الدقيقة، بالإضافة إلى إدارة المكونات الإضافية التي يقدمها المهاجم والتي تعمل على توسيع ميزات LuaDream.
على الرغم من اكتشاف عمليات الاقتحام ومقاطعتها قبل أن تتمكن جهة التهديد من نشر المكونات الإضافية، فإن تحليل SentinelLabs لعينات LuaDream المرحلية المشتركة على VirusTotal قدم لمحة عن الوظائف التي قد تنفذها المكونات الإضافية، مع كون إمكانات تنفيذ الأوامر أحد الأمثلة.
تشير مكونات LuaDream الـ 36 المميزة التي حددتها SentinelLabs ودعم البروتوكولات المتعددة للاتصالات C2 إلى مشروع واسع النطاق. تم تصميم سلسلة التدريج LuaDream لتجنب الكشف وإحباط التحليل أثناء نشر البرامج الضارة مباشرة في الذاكرة. تستفيد عملية التنفيذ والتدريج الخاصة بـ LuaDream من منصة LuaJIT، المترجم الفوري للغة البرمجة النصية Lua. هذا في المقام الأول هو ما جعل اكتشاف كود Lua النصي الضار أمرًا صعبًا.
يظل تحديد مصدر Sandman لغزًا، حيث يتم وضعه في نفس الفئة الغامضة مثل Metador وغيره من الجهات الفاعلة التي تشكل تهديدًا مراوغًا والتي تعمل مع الإفلات من العقاب. يمثل LuaDream مثالًا مقنعًا على جهود الابتكار والتقدم المستمرة التي يصبها ممثلو تهديدات التجسس الإلكتروني في ترسانتهم من البرامج الضارة المتطورة باستمرار.