GETOVERX FORUM Community Support   ›   Malware Docs   ›   Gusanos (Worms)   ›   Sandman (2023)

  • 1 Vote(s) - 5 Average
  • 1
  • 2
  • 3
  • 4
  • 5
Sandman (2023)
mrwebfeeder
Super Moderator
******
Joined: Sep 2025
Posts: 143

Reputation: 11
#1
11-29-2025, 04:24 PM (This post was last modified: 12-07-2025, 03:26 PM by mrwebfeeder.)
Nombre: LuaDream

Categoría: RAT / backdoor modular (LuaJIT)

Fecha de descubrimiento: 2023

Objetivo principal (victimología):
- Proveedores de telecomunicaciones y servicios de Internet (Telecom & ISPs).
- Campañas observadas contra telcos en Oriente Medio, Europa Occidental y el subcontinente asiático.

Comportamiento (lo que hace y archivos que infecta):
- Backdoor modular escrito sobre la plataforma LuaJIT, con múltiples componentes (DLLs y módulos Lua) que se encadenan para cargar el payload principal en memoria.
- Utiliza técnicas de DLL hijacking / DLL sideloading, cargando una DLL maliciosa que imita a una legítima para ser ejecutada por servicios de Windows.
- Recopila información del sistema y del usuario (versión de OS, IP/MAC, información de la máquina, usuario conectado, etc.) y la exfiltra hacia infraestructura de mando y control (C2).
- Gestiona plugins/módulos adicionales enviados desde el C2 para extender sus capacidades (ejecución de comandos, recolección de datos adicionales, espionaje, etc.).
- Mantiene un perfil bajo: movimientos laterales limitados y actividad mínima, con el objetivo de mantener acceso persistente orientado a ciberespionaje en entornos de alto valor (telcos y proveedores de servicios).

Persistencia:
- Abusa de servicios de Windows que cargan automáticamente DLLs específicas (técnica de DLL hijacking) para asegurarse de que el código malicioso se ejecute en cada arranque del servicio o del sistema.
- Puede utilizar rutas en ProgramData u otras carpetas del sistema para almacenar componentes cifrados/empacados que se cargan en memoria durante la cadena de infección.
- Es recomendable asumir posibles mecanismos de persistencia adicionales (por ejemplo, tareas programadas o servicios adicionales) en variaciones futuras o personalizadas del toolkit.

Hash real de referencia (SHA-256):
- Ejemplo de hash asociado a una muestra de LuaDream:
Code:
6a6526c245d8ce8841ce375e0dcac77805ed68f7ae25b7a7d341aba3b7c7fa54

Mitigación con GetOverX Shield:
  • Antivirus:
    - Realizar escaneos completos y programados en servidores y estaciones de trabajo críticas (especialmente equipos de administración de red y sistemas de soporte a telco/ISP).
    - Incluir escaneo de memoria y de DLLs cargadas en servicios sensibles (Spooler, Fax y otros servicios que cargan DLLs de forma automática).
    - Mantener firmas y motores actualizados para identificar familias de backdoors LuaJIT y DLLs maliciosas empleadas en cadenas de carga.

  • Firewall:
    - Restringir conexiones salientes desde servidores y equipos de administración hacia Internet sólo a puertos y destinos estrictamente necesarios.
    - Supervisar y, si es posible, bloquear tráfico inusual hacia dominios/IPs desconocidos utilizando WebSockets, TCP propietario, HTTPS o QUIC desde hosts internos.
    - Crear reglas específicas para entornos Telco/ISP donde el tráfico administrativo hacia Internet esté muy acotado y registrado.

  • HIPS / EDR:
    - Detect DLL sideloading (EDR):
    - Definir reglas de comportamiento para detectar cadenas de carga inusuales, por ejemplo, cuando un servicio de Windows carga una DLL desde rutas no estándar o recientemente creadas.
    - Alertar cuando se detecten DLLs con nombre de sistema (p.ej. parecidas a ualapi.dll u otras) ubicadas fuera de las rutas legítimas.
    - Block persistence via scheduled tasks:
    - Monitorear creación y modificación de tareas programadas y servicios nuevos relacionados con binarios desconocidos.
    - Bloquear o poner en cuarentena binarios que se registren como tareas programadas o servicios sin firma válida o con reputación sospechosa.
    - Registrar todos estos eventos en los logs unificados para correlacionarlos con actividad de red y posibles indicadores de C2.

  • Sandbox (incluyendo SandboxLite):
    - Use SandboxLite to analyze unknown DLL chains:
    - Enviar a SandboxLite DLLs sospechosas y ejecutables que actúen como “host” de esas DLLs para observar la cadena de carga real.
    - Analizar si, al ejecutar el binario en Sandbox, se producen:
    - Conexiones hacia dominios/IPs desconocidos.
    - Carga dinámica de módulos Lua, LuaJIT o componentes cifrados.
    - Creación de servicios, tareas programadas o modificaciones en ProgramData.
    - Marcar como bloqueados automáticamente aquellos binarios que reproduzcan el patrón típico de cadena LuaDream.

  • Secure Erase / Limpieza avanzada:
    - Una vez identificados los componentes de LuaDream, usar el módulo de Secure Erase para eliminar de forma segura:
    - DLLs maliciosas utilizadas en DLL hijacking/sideloading.
    - Archivos intermedios de la cadena de carga almacenados en ProgramData u otras rutas.
    - En servidores muy comprometidos, considerar reinstalación controlada tras copia de seguridad de datos estrictamente necesarios y ya escaneados.

  • Medidas posteriores al incidente:
    - Revisar y endurecer la segmentación de red, en especial entre entornos de gestión (NOC, sistemas OSS/BSS) y resto de la infraestructura.
    - Rotar credenciales administrativas que hayan podido ser expuestas, y revisar accesos a sistemas críticos de core de red y de facturación.
    - Implementar políticas estrictas de administración remota (jump servers, MFA, registros detallados de sesión).
    - Fortalecer la monitorización continua con el EDR y los logs unificados para detectar intentos de reintroducción del toolkit o de variantes similares.

Notas opcionales:
- LuaDream se ha observado como parte de campañas de ciberespionaje avanzadas dirigidas a telcos y proveedores de servicios, con un énfasis fuerte en sigilo, modularidad y uso de LuaJIT como plataforma poco común en el malware tradicional.
  Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)