Seorang peretas misterius dengan nama Sandman diduga terlibat dalam serangkaian serangan dunia maya yang menargetkan penyedia layanan telekomunikasi di tiga benua yaitu, Timur Tengah, Eropa Barat, dan anak benua Asia Selatan.
Melansir dari The Hacker News, penyerangan ini memanfaatkan kompiler just-in-time (JIT) untuk bahasa pemrograman Lua yang disebut juga LuaJIT sebagai cara untuk menyebarkan implan baru yang disebut LuaDream. Aleksandar Milenkoski, peneliti keamanan di SentinelOne, mengatakan dalam analisis yang diterbitkan dalam jurnal yang bekerja sama dengan Group Q. “Implementasi LuaDream mewakili proyek yang diterapkan dengan baik, dipelihara, dan dikembangkan secara aktif dalam skala besar.”
Baca Juga : Kembali Viral! 13 Malware macOS yang Ditemukan pada Tahun 2022 Dikaitkan dengan Cina
Terdapat beberapa bukti yang mendukung kebenaran bahwa aktivitas Sandman menunjukkan adanya musuh spionase dunia maya yang cenderung menyasar sektor telekomunikasi di berbagai wilayah. Namun, baik kampanye maupun taktiknya tidak ada hubungannya dengan aktor atau kelompok ancaman mana pun. Serangan pertama kali diamati selama beberapa minggu pada bulan Agustus 2023.
“Rantai tengah LuaDream dirancang untuk menghindari deteksi dan mencegah analisis saat menyebarkan malware langsung ke memori,” jelas Milenkoski.
“Proses persiapan dan penerapan LuaDream memanfaatkan platform LuaJIT, kompiler just-in-time untuk bahasa skrip Lua. Hal ini membuat kode skrip Lua yang berbahaya sangat sulit dideteksi.” lanjutnya
Rangkaian komponen perangkat lunak yang disertakan dalam referensi kode sumber implan tertanggal 3 Juni 2022 menunjukkan bahwa pekerjaan persiapan telah dilakukan selama lebih dari setahun. LuaDream dianggap sebagai varian malware jenis baru yang disebut DreamLand oleh Kaspersky dalam laporan APT Trends Q1 2023. Perusahaan keamanan siber Rusia menggambarkannya menggunakan bahasa skrip Lua serta sistem just-in-time (JIT) untuk mengeksekusi kode berbahaya yang sulit dideteksi.
Penggunaan malware berbasis Lua jarang terjadi dalam lanskap ancaman, hanya terlihat pada tiga contoh berbeda sejak tahun 2012: The Flame, Animal Farm (juga dikenal sebagai SNOWGLOBE), dan Project Sauron.
Metode akses awal yang tepat masih belum jelas, namun diamati bahwa pencurian dan pengintaian kredensial administratif dilakukan untuk menyusup ke stasiun kerja yang diinginkan dan akhirnya mengarah ke LuaDream.
Sebuah pintu belakang multi-protokol yang modular dengan 13 inti dan 21 komponen pendukung, LuaDream dirancang untuk menyaring informasi pengguna dan sistem, dan mengelola plugin yang disediakan penyerang untuk memperluas fungsinya, seperti eksekusi perintah. LuaDream juga menyediakan banyak kemampuan anti-debugging untuk menghindari deteksi dan mencegah analisis.
Komunikasi komando dan kontrol (C2) dilakukan dengan menjalin kontak dengan domain bernama “mode.encagil[.]com” menggunakan protokol WebSocket. Namun ia juga dapat mendengarkan koneksi masuk melalui protokol TCP, HTTPS, dan QUIC. Modul inti mengimplementasikan semua fitur yang disebutkan di atas, sedangkan komponen pendukung bertanggung jawab untuk menambahkan kemampuan pintu belakang untuk menunggu koneksi berbasis Windows HTTP Server API dan menjalankan perintah.
“LuaDream berfungsi sebagai ilustrasi menarik tentang inovasi berkelanjutan dan upaya kemajuan yang diintegrasikan oleh pelaku ancaman spionase dunia maya ke dalam gudang malware mereka yang terus berkembang,” kata Milenkoski.
Pengungkapan ini bertepatan dengan laporan paralel dari SentinelOne yang merinci serangan strategis yang sedang berlangsung oleh aktor ancaman Tiongkok di Afrika, termasuk yang menargetkan sektor telekomunikasi, informasi, keuangan, dan pemerintahan Afrika, sebagai bagian dari kelompok aktivis bernama BackdoorDiplomacy, Earth Estries, dan Operation Tainted Love.
Baca Juga : Penjahat Siber Earth Lusca Pakai Backdoor Linux Targetkan Entitas Pemerintahan Seluruh Dunia
Menurut perusahaan tersebut, tujuannya adalah untuk memperluas pengaruhnya di seluruh benua dan mengeksploitasi serangan sebagai bagian dari agenda soft powernya. SentinelOne mengatakan pihaknya telah mendeteksi penyusupan ke dalam entitas telekomunikasi yang berbasis di Afrika Utara oleh orang yang sama dibalik Operasi Tainted Love, dan menambahkan bahwa waktu serangan tersebut sesuai dengan pembicaraan organisasi tersebut untuk ekspansi lebih lanjut di wilayah tersebut.
“Intrusi yang ditargetkan oleh APT BackdoorDiplomacy dan kelompok ancaman yang mendalangi Operasi Tainted Love menunjukkan niat baik untuk mendukung [Tiongkok dalam upayanya] untuk membentuk kebijakan dan narasi yang konsisten dengan ambisi geostrategisnya, sehingga menjadikan dirinya sebagai kekuatan yang penting dan menentukan di bidang digital Afrika,” kata peneliti keamanan Tom Hegel kepada The Hacker News.
Hal ini terjadi beberapa hari setelah Cisco Talos mengungkapkan bahwa penyedia layanan telekomunikasi di Timur Tengah menjadi sasaran rangkaian intrusi baru yang disebut ShroudedSnooper, yang menggunakan serangkaian backdoor tersembunyi yang disebut HTTPSnoop dan PipeSnoop.
