Un actor de amenazas previamente desconocido llamado “Sandman” apunta a proveedores de servicios de telecomunicaciones en Medio Oriente, Europa occidental y el sur de Asia, utilizando un malware modular de robo de información llamado “LuaDream”
En agosto de 2023, SentinelLabs, en colaboración con QGroup GmbH, descubrió un grupo de actividades de amenazas en el sector de las telecomunicaciones. Un actor de amenazas desconocido utilizó una puerta trasera modular llamada LuaDream, basada en LuaJIT, para llevar a cabo estas acciones. Estas actividades se caracterizaron por su enfoque sigiloso y estratégico, con movimientos laterales precisos hacia estaciones de trabajo específicas.
LuaDream es un backdoor multiprotocolo que puede extraer información del sistema y gestionar complementos proporcionados por atacantes. Aunque se detectaron intrusiones antes de que se implementaran complementos, se revelaron capacidades de ejecución de comandos en el análisis de muestras. LuaDream consta de 36 componentes distintos y es compatible con múltiples protocolos de comunicación C2, lo que sugiere un proyecto de considerable envergadura. El malware se prepara cuidadosamente para evitar la detección y se implementa en la memoria utilizando LuaJIT para ocultar su código malicioso en scripts Lua.
En marzo de 2023, Kaspersky describió brevemente un nuevo malware durante un resumen trimestral dirigido activamente a una entidad gubernamental en Pakistán. Basándonos en las características escasamente descritas, evaluamos que se refieren a una variante de LuaDream, denominada DreamLand. Tenga en cuenta la siguiente cadena en los ejemplos de LuaDream que identificamos:
C :\\ proyecto \\ diezaños \\ DreamLandClient \\ Proyecto \\ cpp \\ HttpClientLj \\ testdll .dll
Las actividades que observamos tuvieron lugar durante varias semanas en agosto de 2023. Después de robar credenciales administrativas y realizar un reconocimiento, Sandman se infiltró en estaciones de trabajo específicas utilizando la técnica pass-the-hash a través del protocolo de autenticación NTLM.Observamos los siguientes artefactos del sistema de archivos implementados:
En el contexto del ataque, Sandman utilizó una técnica de secuestro de DLL para ejecutar LuaDream. Introdujeron una DLL maliciosa llamada “ualapi.dll”, que se disfrazaba como su contraparte legítima (un componente de registro de acceso de usuario – UAL). Esta DLL maliciosa se incorporó como parte del proceso de carga de LuaDream y se dirigía al servicio Windows Fax Spooler al iniciarse. Lo intrigante fue que el actor de amenazas no reinició el servicio de Fax Spooler de manera forzada para ejecutar LuaDream, posiblemente como medida para evitar la detección basada en la manipulación del servicio. En cambio, optaron por esperar pacientemente a que el servicio de Fax Spooler cargara la DLL maliciosa en el próximo reinicio del sistema.
En esta fase del ataque, el código se envuelve en un paquete que combina técnicas de cifrado y compresión basadas en XOR. Los archivos “fax.dat”, “fax” y “crt” albergan este código empacado. Una vez descomprimido, revela un motor LuaJIT que habilita la ejecución de componentes internos denominados LuaDream.fax.Application, fax.module, Applicationinterface y crt.
El componente “crt” descomprime el archivo “fax.module”, que luego recupera información formateada en XML y el contenido del archivo “fax.cache”. Este último contiene una función Lua cifrada y comprimida que devuelve nombres de referencia y implementaciones de los componentes de LuaDream, todo en un formato codificado en Base-64.
La configuración de LuaDream incluye C2 y información del protocolo de comunicación. La variante de LuaDream que analizamos está configurada para comunicarse con el mode.encagil[.]comdominio a través del protocolo WebSocket.
El rastreo de Sandman continúa siendo un desafío misterioso, manteniéndolo en la misma categoría enigmática que otros actores de amenazas escurridizos como Metador. LuaDream representa un ejemplo destacado de cómo estos ciberespías siguen innovando y mejorando su arsenal de malware.
En este mundo de amenazas en constante evolución, la colaboración y el intercambio de información en la comunidad de investigación de amenazas son esenciales. SentinelLabs sigue comprometido con esta misión y espera que esta publicación inspire futuros esfuerzos de cooperación. Agradecemos las contribuciones de Luca Palermo del equipo IR TAM de SentinelOne EMEA en la investigación y resolución de esta amenaza.
Indicadores de compromiso
| SHA1 | Nombre del archivo |
| 1cd0a3dd6354a3d4a29226f5580f8a51ec3837d4 | fax.dat |
| 27894955aaf082a606337ebe29d263263be52154 | fax.Aplicación |
| 5302c39764922f17e4bc14f589fa45408f8a5089 | ualap.dll |
| 77e00e3067f23df10196412f231e80cec41c5253 | fax.caché |
| b9ea189e2420a29978e4dc73d8d2fd801f6a0db2 | UpdateCheck.dll |
| fb1c6a23e8e0693194a365619b388b09155c2183 | actualizador.ver |
| ff2802cdbc40d2ef3585357b7e6947d42b875884 | módulo.fax |
Carpeta LuaDream Rutas de archivos
%ProgramData%\FaxConfig
%ProgramData%\FaxLib
Dominios del servidor C2
mode.encagil[.]com
ssl.explorecell[.]com
fuente: sentinelone
