Sandman, Hacker Misterius yang Targetkan Penyedia Telekomunikasi di Tiga Benua
Cyberthreat.id – Hacker misterius bernama Sandman telah dikaitkan dengan serangkaian serangan dunia maya yang menargetkan penyedia koasi telekomunikasi di Timur Tengah, Eropa Barat, dan anak benua Asia Selatan.
Khususnya, menurut The Hacker News, intrusi ini memanfaatkan kompiler just-in-time (JIT) untuk bahasa pemrograman Lua yang dikenal sebagai LuaJIT sebagai sarana untuk menyebarkan implan baru yang disebut LuaDream.
“Aktivitas yang kami amati ditandai dengan pergerakan lateral strategis ke stasiun kerja yang ditargetkan secara spesifik dan keterlibatan minimal, menunjukkan pendekatan yang disengaja yang bertujuan untuk mencapai tujuan yang ditetapkan sambil meminimalkan risiko deteksi,” kata peneliti keamanan SentinelOne Aleksandar Milenkoski dalam analisis yang diterbitkan bekerja sama dengan Grup Q.
"Penerapan LuaDream menunjukkan proyek yang dilaksanakan dengan baik, dipelihara, dan dikembangkan secara aktif dalam skala besar."
Menurut The Hacker News, terdapat bukti bahwa aktivitas Sandman mengarah pada adanya musuh spionase dunia maya yang cenderung menargetkan sektor telekomunikasi di berbagai wilayah.
Namun, lanjtanya, baik kampanye maupun taktiknya tidak ada hubungannya dengan aktor atau kelompok ancaman mana pun.
Serangan tersebut pertama kali diamati selama beberapa minggu pada bulan Agustus 2023.
“Rantai pementasan LuaDream dirancang untuk menghindari deteksi dan menggagalkan analisis saat menyebarkan malware langsung ke memori,” jelas Milenkoski.
"Penerapan LuaDream dan proses pementasan memanfaatkan platform LuaJIT, kompiler just-in-time untuk bahasa skrip Lua. Hal ini terutama membuat kode skrip Lua yang berbahaya sulit dideteksi."
Artefak string yang terdapat dalam referensi kode sumber implan tanggal 3 Juni 2022, menunjukkan bahwa pekerjaan persiapan telah berlangsung selama lebih dari setahun.
LuaDream diduga merupakan varian dari jenis malware baru yang disebut sebagai DreamLand oleh Kaspersky dalam laporan tren APT untuk Kuartal 1 tahun 2023.
Perusahaan keamanan siber Rusia tersebut menggambarkannya menggunakan "bahasa skrip Lua bersama dengan sistem just-in-time-nya." (JIT) kompiler untuk mengeksekusi kode berbahaya yang sulit dideteksi."
Penggunaan malware berbasis Lua jarang terjadi dalam lanskap ancaman, karena sebelumnya hanya diamati pada tiga contoh berbeda sejak tahun 2012: Flame, Animal Farm (alias SNOWGLOBE), dan Project Sauron.
Mode akses awal yang tepat masih belum jelas, namun telah diamati mencuri kredensial administratif dan melakukan pengintaian untuk melanggar stasiun kerja yang diinginkan dan pada akhirnya menghasilkan LuaDream.
Sebuah backdoor multi-protokol yang modular dengan 13 inti dan 21 komponen pendukung, LuaDream terutama dirancang untuk menyaring informasi sistem dan pengguna serta mengelola plugin yang disediakan penyerang yang memperluas fitur-fiturnya, seperti eksekusi perintah.
LuaDream juga dilengkapi berbagai kemampuan anti-debugging untuk menghindari deteksi dan menggagalkan analisis.
Komunikasi perintah-dan-kontrol (C2) dilakukan dengan menjalin kontak dengan domain bernama "mode.encagil[.]com" menggunakan protokol WebSocket.
Namun ia juga dapat mendengarkan koneksi masuk melalui protokol TCP, HTTPS, dan QUIC.
Modul inti mengimplementasikan semua fitur yang disebutkan di atas, sedangkan komponen pendukung bertanggung jawab untuk menambah kemampuan pintu belakang untuk menunggu koneksi berdasarkan API server HTTP Windows dan menjalankan perintah.
“LuaDream berdiri sebagai ilustrasi menarik dari inovasi berkelanjutan dan upaya kemajuan yang dilakukan pelaku ancaman spionase dunia maya ke dalam gudang malware mereka yang terus berkembang,” kata Milenkoski.
Pengungkapan ini bertepatan dengan laporan paralel dari SentinelOne yang merinci intrusi strategis berkelanjutan yang dilakukan oleh pelaku ancaman Tiongkok di Afrika, termasuk yang ditujukan pada sektor telekomunikasi, keuangan, dan pemerintahan di Afrika, sebagai bagian dari kelompok aktivitas yang disebut BackdoorDiplomacy, Earth Estries, dan Operation Tainted Love.
Tujuannya, kata perusahaan itu, adalah untuk memperluas pengaruh di seluruh benua dan memanfaatkan serangan-serangan tersebut sebagai bagian dari agenda soft power mereka.
SentinelOne mengatakan pihaknya mendeteksi adanya gangguan pada entitas telekomunikasi yang berbasis di Afrika Utara oleh pelaku ancaman yang sama di balik Operasi Tainted Love, dan menambahkan bahwa waktu serangan tersebut selaras dengan negosiasi pribadi organisasi tersebut untuk ekspansi regional lebih lanjut.
“Intrusi yang ditargetkan oleh APT BackdoorDiplomacy dan kelompok ancaman yang mendalangi Operasi Tainted Love menunjukkan niat baik yang diarahkan untuk mendukung [Tiongkok dalam upayanya] membentuk kebijakan dan narasi yang selaras dengan ambisi geostrategisnya, menjadikan dirinya sebagai kekuatan penting dan menentukan dalam digital Afrika. evolusi," kata peneliti keamanan Tom Hegel kepada The Hacker News.
Hal ini juga terjadi beberapa hari setelah Cisco Talos mengungkapkan bahwa penyedia layanan telekomunikasi di Timur Tengah menjadi target rangkaian intrusi baru yang dijuluki ShroudedSnooper yang menggunakan serangkaian pintu belakang tersembunyi yang disebut HTTPSnoop dan PipeSnoop.[]