Teleselskaber kan tilføje endnu en sofistikeret modstander til den allerede lange liste af avancerede persistent trussel (APT) aktører, de skal beskytte deres data og netværk imod.
Den nye trussel er "Sandman", en gruppe af ukendt oprindelse, der dukkede op som luftspejling i august og har implementeret en ny bagdør ved hjælp af LuaJIT, en højtydende, just-in-time-kompiler til Lua-programmeringssproget.
Forskere ved SentinelOne sporer bagdøren som "LuaDream" efter at have observeret den i angreb på teleselskaber i Mellemøsten, Vesteuropa og Sydasien. Deres analyse viste, at malwaren er meget modulopbygget med en række funktioner til at stjæle system- og brugeroplysninger, muliggøre fremtidige angreb og administrere plugins, der leveres af hackere, der udvider malwarens muligheder.
"På nuværende tidspunkt er der ingen pålidelig følelse af tilskrivning," sagde SentinelOne-forsker Aleksandar Milenkoski i et papir, han præsenterede på virksomhedens LABScon konference i denne uge. "Tilgængelige data peger på en modstander af cyberspionage med et stærkt fokus på at målrette mod telekommunikationsudbydere på tværs af forskellige geografiske regioner."
Et populært mål
Teleselskaber har længe været et populært mål for trusselsaktører - især statsstøttede — på grund af de muligheder, de giver spionere på mennesker og udfører bred cyberspionage. Opkaldsdataposter, mobilabonnentidentitetsdata og metadata fra operatørnetværk kan give angribere en måde at spore enkeltpersoner og interessegrupper meget effektivt. Mange af de grupper, der udfører disse angreb, har været baseret i lande som Kina, Iran og Tyrkiet.
For nylig har brugen af telefoner til tofaktorautentificering givet angribere, der ønsker at bryde ind på onlinekonti en anden grund at gå efter teleselskaber. Nogle af disse angreb har involveret indbrud i operatørnetværk for at udføre SIM-swapping - portering af en anden persons telefonnummer til en angriberstyret enhed - i masseskala.
Sandmans vigtigste malware, LuaDream, indeholder 34 forskellige komponenter og understøtter flere protokoller til kommando-og-kontrol (C2), hvilket indikerer en operation af betydelig skala, Milenkoski noteret.
Et nysgerrigt valg
Tretten af komponenterne understøtter kernefunktioner såsom malwareinitialisering, C2-kommunikation, plugin-administration og eksfiltrering af bruger- og systemoplysninger. De resterende komponenter udfører supportfunktioner såsom implementering af Lua-biblioteker og Windows API'er til LuaDream-operationer.
Et bemærkelsesværdigt aspekt af malware er dens brug af LuaJIT, bemærkede Milenkoski. LuaJIT er typisk noget, udviklere bruger i forbindelse med spilapplikationer og andre specialapplikationer og use cases. "Meget modulær, Lua-udnyttende malware er et relativt sjældent syn, med Projekt Sauron cyberspionageplatform er et af de sjældent sete eksempler,” sagde han. Dets brug i APT malware antyder muligheden for, at en tredjeparts sikkerhedsleverandør er involveret i kampagnen, bemærkede han også.
SentinelOnes analyse viste, at når trusselsaktøren får adgang til et målnetværk, er ét stort fokus på at lægge sig lavt og være så diskret som muligt. Gruppen stjæler i første omgang administrative akkreditiver og laver stille og roligt rekognoscering på det kompromitterede netværk, der søger at bryde ind i specifikt målrettede arbejdsstationer - især dem, der er tildelt personer i ledende stillinger. SentinelOne-forskere observerede, at trusselsaktøren opretholder et gennemsnit på fem dage mellem indbrud i endepunkter for at minimere detektion. Det næste trin involverer typisk Sandman-aktører, der implementerer mapper og filer til indlæsning og eksekvering af LuaDream, sagde Milenkoski.
LuaDreams funktioner tyder på, at det er en variant af et andet malware-værktøj kaldet DreamLand, som forskere hos Kaspersky tidligere på året observerede, blev brugt i en kampagne rettet mod et pakistansk regeringsagentur. Ligesom LuaDream var den malware, som Kaspersky opdagede, også meget modulær, da den blev brugt Lua i forbindelse med JIT-kompileren til at udføre kode på en svær at opdage måde, sagde Milenkoski. På det tidspunkt beskrev Kaspersky malwaren som det første tilfælde af en APT-skuespiller, der brugte Lua, siden Project Sauron og en anden ældre kampagne blev døbt Animal Farm.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/attacks-breaches/mysterious-sandman-apt-targets-telecom-sector-with-novel-backdoor
- :har
- :er
- 7
- a
- adgang
- Konti
- tværs
- aktører
- tilføje
- administrative
- fremskreden
- Efter
- mod
- agentur
- allerede
- også
- an
- analyse
- ,
- En anden
- API'er
- applikationer
- APT
- ER
- Array
- AS
- asia
- udseende
- tildelt
- At
- Angreb
- AUGUST
- Godkendelse
- til rådighed
- gennemsnit
- bagdør
- baseret
- været
- være
- mellem
- Big
- Pause
- Breaking
- bred
- Kampagne
- CAN
- kapaciteter
- tilfælde
- Kina
- kode
- Kommunikation
- Virksomheder
- selskab
- komponenter
- Kompromitteret
- Adfærd
- udførelse
- adfærd
- Konference
- sammenholdt
- betydelig
- indeholder
- sammenhæng
- Core
- lande
- Legitimationsoplysninger
- nysgerrig
- Cyber
- data
- datapunkter
- implementering
- beskrevet
- Detektion
- udviklere
- enhed
- opdaget
- distinkt
- forskelligartede
- døbt
- tidligere
- Øst
- effektivt
- muliggør
- Endpoint
- især
- spionage
- Europa
- eksempler
- udføre
- udførelse
- eksfiltration
- udvide
- Funktionalitet
- Filer
- Fornavn
- Fokus
- Til
- fra
- funktioner
- fremtiden
- gevinster
- spil
- kløft
- geografisk
- Giv
- given
- Go
- Regering
- gruppe
- Gruppens
- Have
- he
- Høj ydeevne
- stærkt
- hints
- HTTPS
- Identity
- gennemføre
- in
- enkeltpersoner
- oplysninger
- i første omgang
- instans
- interesse
- ind
- involverede
- Iran
- IT
- ITS
- JIT
- jpg
- Kaspersky
- Sprog
- biblioteker
- ligesom
- Liste
- lastning
- Lang
- leder
- Lav
- Main
- Vedligeholdelse
- malware
- ledelse
- ledelsesmæssige
- styring
- måde
- mange
- Masse
- Metadata
- Mellemøsten
- Middle East
- Mobil
- modulær
- mere
- flere
- mystisk
- Behov
- netværk
- net
- Ny
- næste
- ingen
- bemærkede
- bemærkelsesværdigt
- roman
- nummer
- of
- ældre
- on
- engang
- ONE
- dem
- online
- drift
- Produktion
- Muligheder
- oprindelse
- Andet
- Papir
- Udfør
- person,
- telefon
- telefoner
- perron
- plato
- Platon Data Intelligence
- PlatoData
- plugin
- Plugins
- punkter
- Populær
- positioner
- Muligheden
- mulig
- forelagt
- Programmering
- projekt
- beskytte
- protokoller
- give
- udbydere
- roligt
- SJÆLDEN
- for nylig
- optegnelser
- regioner
- relativt
- pålidelig
- resterende
- forsker
- forskere
- s
- Said
- Scale
- sektor
- sikkerhed
- søger
- forstand
- viste
- Syn
- siden
- nogle
- noget
- sofistikeret
- Syd
- Specialty
- specifikt
- stjæler
- Trin
- stærk
- abonnent
- sådan
- tyder
- support
- Understøtter
- systemet
- mål
- målrettet
- rettet mod
- mål
- telecom
- telekommunikation
- telekommunikation
- at
- deres
- Der.
- Disse
- de
- tredjepart
- denne
- denne uge
- i år
- dem
- trussel
- trusselsaktører
- tid
- til
- værktøj
- spor
- Sporing
- Tyrkiet
- typisk
- ukendt
- brug
- anvendte
- Bruger
- ved brug af
- Variant
- sælger
- meget
- var
- Vej..
- uge
- Western
- Vesteuropa
- vinduer
- med
- år
- zephyrnet