神秘的“沙人”威胁行为者瞄准三大洲的电信提供商

一个以前未记录在案的威胁行为者被称为Sandman，他被归咎于针对中东，西欧和南亚次大陆的电信koation提供商的一系列网络攻击。
值得注意的是，入侵利用了Lua编程语言的即时（JIT）编译器，称为LuaJIT，作为部署名为LuaDream的新型植入物的工具。
“我们观察到的活动的特点是战略性横向移动到特定的目标工作站和最小的参与，这表明了一种深思熟虑的方法，旨在实现既定目标，同时最大限度地降低检测风险，”SentinelOne安全研究员Aleksandar Milenkoski在与QGroup合作发表的分析中说。
“LuaDream的实施表明了一个执行良好，维护和积极开发的相当规模的项目。
该活动及其策略均未与任何已知的威胁行为者或组织相关联，尽管现有证据表明网络间谍对手倾向于针对跨地区的电信部门。这些袭击是在 2023 年 <> 月的几周内首次观察到的。
LuaDream暂存链旨在逃避检测和阻止分析，同时将恶意软件直接部署到内存中，”Milenkoski解释说。“LuaDream的实现和暂存过程利用了LuaJIT平台，这是Lua脚本语言的即时编译器。这主要是为了使恶意的Lua脚本代码难以检测。