APT „Sandman“ – LuaJIT-Toolkit nimmt TK-Unternehmen ins Visier

Insbesondere Telekommunikationsanbieter im Nahen Osten, in Westeuropa und auf dem südasiatischen Subkontinent stehen im Visier der mysteriösen Akteure. Eine bemerkenswerte Entdeckung ist der Einsatz einer neuartigen modularen Backdoor namens LuaDream, die die LuaJIT-Plattform nutzt – ein seltenes Phänomen in der Bedrohungslandschaft.

LuaDream – eine hoch modulare Malware

Die Implementierung von LuaDream deutet auf ein gut organisiertes und aktiv weiterentwickeltes Projekt von beträchtlichem Umfang hin. Die Malware besteht aus insgesamt 36 verschiedenen Komponenten und unterstützt mehrere C2-Kommunikationsprotokolle. Die Verwendung von LuaJIT, einem Just-in-Time-Compiler für die Skriptsprache Lua, erschwert die Erkennung von bösartigem Lua-Skriptcode. Die LuaDream-Plattform zielt darauf ab, System- und Benutzerinformationen auszuspionieren, um den Weg für weitere gezielte Angriffe zu ebnen. Darüber hinaus ermöglicht sie die Verwaltung von Plugins, die die Funktionalität von LuaDream erweitern.

Telekommunikationsunternehmen sind aufgrund der sensiblen Daten, über die sie verfügen, häufig Ziel von Spionageaktivitäten. Sandman konzentriert sich insbesondere auf Telekommunikationsanbieter im Nahen Osten, in Westeuropa und auf dem südasiatischen Subkontinent. Die Aktivitäten deuten auf einen motivierten und fähigen Angreifer hin, der strategisch vorgeht, um seine Ziele zu erreichen und gleichzeitig das Entdeckungsrisiko zu minimieren. Obwohl die genaue Zuordnung der Sandman-Gruppe eine Herausforderung darstellt, gibt es Hinweise, die auf Cyberspionageaktivitäten hindeuten.

Technische Hintergründe von Sandman

Die beobachteten Aktivitäten des Bedrohungsakteurs Sandman erstreckten sich über mehrere Wochen im August 2023. Die Angreifer nutzten die Pass-the-Hash-Technik über das NTLM-Authentifizierungsprotokoll, um sich Zugang zu bestimmten Workstations zu verschaffen. Dabei wurden administrative Anmeldedaten gestohlen und Erkundungen durchgeführt. Sandman nutzte geschickt die DLL-Hijacking-Technik, um LuaDream auszuführen und unentdeckt zu bleiben. Der Staging-Prozess von LuaDream ist komplex und darauf ausgelegt, Erkennung und Analyse zu erschweren. Verschiedene Anti-Analyse-Maßnahmen und Verschlüsselung schützen die Malware effektiv vor der Entdeckung.

LuaDream ist eine mehrstufige Backdoor, deren Hauptfunktion darin besteht, vom Angreifer bereitgestellte Plugins zu verwalten und System- und Benutzerinformationen auszuspähen. Die Malware ist in LuaJIT-Bytecode implementiert und nutzt die Windows-API über C-Sprachbindungen. Sie kann sowohl als Client für die Verbindung zu C2-Servern als auch als Server für das Warten auf eingehende Verbindungen fungieren. LuaDream kann über verschiedene Protokolle kommunizieren, darunter TCP, HTTPS, WebSocket und QUIC. Es verfügt über umfangreiche Funktionen zur Erfassung von Systeminformationen und zur Verwaltung von Plugins.

Die Analyse der Kommunikation von LuaDream mit den C2-Servern gab interessante Einblicke in die Infrastruktur von Sandman APT. Für die Kommunikation wurden die Domänen ssl.explorecell[.]com und mode.encagil[.]com verwendet. Der Wechsel von direkt aufgedeckten C2-Server-IP-Adressen zu Adressen einer Load-Balancing-Infrastruktur deutet auf eine Änderung der Infrastrukturmanagementpraktiken von Sandman hin. Diese Änderung soll die Aufdeckung des tatsächlichen Hostings erschweren und so den Erfolg der Cyber-Operationen sicherstellen.

Effektive Verteidigungsmaßnahmen

Die Identifizierung und Zuordnung der Bedrohungsaktivitäten von Sandman bleibt eine Herausforderung. LuaDream stellt eine beeindruckende Entwicklung in der Cyber-Bedrohungslandschaft dar und zeigt die anhaltende Innovationskraft der Cyber-Spionage-Bedrohungsakteure. Um dieser Bedrohung effektiv begegnen zu können, ist eine konzertierte Zusammenarbeit und der Austausch von Informationen innerhalb der internationalen Gemeinschaft der Sicherheitsforscher unerlässlich.