Telekommunikationsunternehmen können der bereits langen Liste der Advanced Persistent Threat (APT)-Akteure, vor denen sie ihre Daten und Netzwerke schützen müssen, einen weiteren raffinierten Gegner hinzufügen.
Die neue Bedrohung ist „Sandman“, eine Gruppe unbekannter Herkunft, die im August wie eine Fata Morgana auftauchte und eine neuartige Hintertür mithilfe von LuaJIT, einem leistungsstarken Just-in-Time-Compiler für die Programmiersprache Lua, einsetzte.
Forscher von SentinelOne verfolgen die Hintertür als „LuaDream“, nachdem sie sie bei Angriffen auf Telekommunikationsunternehmen im Nahen Osten, Westeuropa und Südasien beobachtet haben. Ihre Analyse zeigte, dass die Malware hochmodular ist und über eine Reihe von Funktionen zum Stehlen von System- und Benutzerinformationen, zum Ermöglichen zukünftiger Angriffe und zum Verwalten von vom Angreifer bereitgestellten Plugins verfügt, die die Fähigkeiten der Malware erweitern.
„Derzeit gibt es kein verlässliches Gefühl für die Zuschreibung“, sagte SentinelOne-Forscher Aleksandar Milenkoski in einem Papier, das er beim Unternehmen vorstellte LABScon Konferenz diese Woche. „Die verfügbaren Daten deuten auf einen Cyberspionage-Gegner hin, der sich stark darauf konzentriert, Telekommunikationsanbieter in verschiedenen geografischen Regionen anzugreifen.“
Ein beliebtes Ziel
Telekommunikationsunternehmen sind seit langem ein beliebtes Ziel für Bedrohungsakteure – insbesondere für staatlich unterstützte - wegen der Möglichkeiten, die sie bieten Menschen ausspionieren und die Durchführung umfassender Cyberspionage. Anrufdatensätze, Mobilfunkteilnehmer-Identitätsdaten und Metadaten von Netzbetreibern können Angreifern eine Möglichkeit bieten, Einzelpersonen und Interessengruppen sehr effektiv zu verfolgen. Viele der Gruppen, die diese Angriffe durchführen, haben ihren Sitz in Ländern wie China, Iran und der Türkei.
In jüngerer Zeit hat der Einsatz von Mobiltelefonen zur Zwei-Faktor-Authentifizierung Angreifern die Möglichkeit gegeben, in Online-Konten einzudringen ein anderer Grund gegen Telekommunikationsunternehmen vorzugehen. Bei einigen dieser Angriffe ging es darum, in Netze von Mobilfunkanbietern einzubrechen, um in großem Umfang SIM-Tausch durchzuführen – also die Telefonnummer einer anderen Person auf ein vom Angreifer kontrolliertes Gerät zu portieren.
Sandmans wichtigste Schadsoftware, LuaDream, enthält 34 verschiedene Komponenten und unterstützt mehrere Protokolle für Command-and-Control (C2), was auf eine Operation von beträchtlichem Ausmaß hinweist. Milenkoski notiert.
Eine merkwürdige Wahl
Dreizehn der Komponenten unterstützen Kernfunktionen wie Malware-Initialisierung, C2-Kommunikation, Plugin-Verwaltung und Exfiltration von Benutzer- und Systeminformationen. Die übrigen Komponenten übernehmen unterstützende Funktionen wie die Implementierung von Lua-Bibliotheken und Windows-APIs für LuaDream-Operationen.
Ein bemerkenswerter Aspekt der Malware sei die Verwendung von LuaJIT, bemerkte Milenkoski. LuaJIT wird normalerweise von Entwicklern im Zusammenhang mit Spieleanwendungen und anderen Spezialanwendungen und Anwendungsfällen verwendet. „Hochmodulare, Lua-nutzende Schadsoftware kommt relativ selten vor Projekt Sauron „Cyber-Spionageplattform ist eines der selten gesehenen Beispiele“, sagte er. Sein Einsatz in der APT-Malware weise auf die Möglichkeit hin, dass ein externer Sicherheitsanbieter an der Kampagne beteiligt sei, bemerkte er außerdem.
Die Analyse von SentinelOne hat gezeigt, dass, sobald der Bedrohungsakteur Zugang zu einem Zielnetzwerk erhält, ein großer Schwerpunkt darauf liegt, unauffällig zu bleiben und so unauffällig wie möglich zu sein. Die Gruppe stiehlt zunächst administrative Anmeldedaten und führt in aller Stille eine Erkundung des kompromittierten Netzwerks durch, um gezielt in bestimmte Arbeitsstationen einzudringen – insbesondere solche, die Personen in Führungspositionen zugewiesen sind. Die Forscher von SentinelOne beobachteten, dass der Bedrohungsakteur durchschnittlich fünf Tage Abstand zwischen Einbrüchen in Endpunkte einhielt, um die Erkennung zu minimieren. Der nächste Schritt besteht typischerweise darin, dass Sandman-Akteure Ordner und Dateien zum Laden und Ausführen von LuaDream bereitstellen, sagte Milenkoski.
Die Funktionen von LuaDream deuten darauf hin, dass es sich um eine Variante eines anderen Malware-Tools namens DreamLand handelt, das Forscher von Kaspersky Anfang des Jahres beim Einsatz in einer Kampagne gegen eine pakistanische Regierungsbehörde beobachteten. Wie LuaDream war auch die von Kaspersky entdeckte Malware hochgradig modular, da sie Lua in Verbindung mit dem JIT-Compiler nutzte, um Code auf schwer zu erkennende Weise auszuführen, sagte Milenkoski. Damals beschrieb Kaspersky die Malware als die erste Instanz eines APT-Akteurs, der Lua seit Project Sauron und einer anderen älteren Kampagne nutzte Tierfarm.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/attacks-breaches/mysterious-sandman-apt-targets-telecom-sector-with-novel-backdoor
- :hast
- :Ist
- 7
- a
- Zugang
- Trading Konten
- über
- Akteure
- hinzufügen
- administrativ
- advanced
- Nach der
- gegen
- Agentur
- bereits
- ebenfalls
- an
- Analyse
- machen
- Ein anderer
- APIs
- Anwendungen
- APT
- SIND
- Feld
- AS
- Asien
- Aussehen
- zugewiesen
- At
- Anschläge
- AUGUST
- Authentifizierung
- verfügbar
- durchschnittlich
- Hintertür-
- basierend
- war
- Sein
- zwischen
- Big
- Break
- Bruch
- breit
- Kampagnen (Campaign)
- CAN
- Fähigkeiten
- Fälle
- China
- Code
- Kommunikation
- Unternehmen
- Unternehmen
- Komponenten
- Kompromittiert
- Leiten
- Leitung
- dirigiert
- Konferenz
- Verbindung
- erheblich
- enthält
- Kontext
- Kernbereich
- Ländern
- Referenzen
- neugierig
- Cyber-
- technische Daten
- Datenpunkte
- Bereitstellen
- beschrieben
- Entdeckung
- Entwickler
- Gerät
- entdeckt
- deutlich
- verschieden
- synchronisiert
- Früher
- Osten
- effektiv
- ermöglichen
- Endpunkt
- insbesondere
- Spionage
- Europa
- Beispiele
- ausführen
- Ausführung
- Exfiltration
- erweitern
- Eigenschaften
- Mappen
- Vorname
- Setzen Sie mit Achtsamkeit
- Aussichten für
- für
- Funktionen
- Zukunft
- Gewinne
- Gaming
- Lücke
- geographisch
- ABSICHT
- gegeben
- Go
- der Regierung
- Gruppe an
- Gruppen
- Haben
- he
- Hohe Leistungsfähigkeit
- hoch
- Hinweise
- HTTPS
- Identitätsschutz
- Umsetzung
- in
- Einzelpersonen
- Information
- anfänglich
- Instanz
- Interesse
- in
- beteiligt
- Iran
- IT
- SEINE
- JIT
- jpg
- Kaspersky
- Sprache
- Bibliotheken
- Gefällt mir
- Liste
- Laden
- Lang
- suchen
- Sneaker
- Main
- Aufrechterhaltung
- Malware
- Management
- Führungs-
- flächendeckende Gesundheitsprogramme
- Weise
- viele
- Masse
- Metadaten
- Mitte
- Mittlerer Osten
- Mobil
- modulare
- mehr
- mehrere
- geheimnisvoll
- Need
- Netzwerk
- Netzwerke
- Neu
- weiter
- nicht
- bekannt
- bemerkenswert
- Roman
- Anzahl
- of
- Telefongebühren sparen
- on
- einmal
- EINEM
- Einsen
- Online
- Betrieb
- Einkauf & Prozesse
- Entwicklungsmöglichkeiten
- Herkunft
- Andere
- Papier
- Ausführen
- person
- Telefon
- Telefone
- Plattform
- Plato
- Datenintelligenz von Plato
- PlatoData
- Plugin
- Plugins
- Punkte
- Beliebt
- für einige Positionen
- Möglichkeit
- möglich
- vorgeführt
- Programmierung
- Projekt
- Risiken zu minimieren
- Protokolle
- die
- Anbieter
- ruhig
- RARE
- kürzlich
- Aufzeichnungen
- Regionen
- verhältnismäßig
- zuverlässig
- verbleibenden
- Forscher
- Forscher
- s
- Said
- Skalieren
- Bibliotheken
- Sicherheitdienst
- auf der Suche nach
- Sinn
- zeigte
- Sehenswürdigkeit
- da
- einige
- etwas
- anspruchsvoll
- Süd
- Spezialprodukte
- speziell
- Stiehlt
- Schritt
- stark
- Teilnehmer
- so
- vorschlagen
- Support
- Unterstützt
- System
- Target
- gezielt
- Targeting
- Ziele
- Telekom
- Telekommunikations
- Telekommunikation
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- Dort.
- Diese
- vom Nutzer definierten
- basierte Online-to-Offline-Werbezuordnungen von anderen gab.
- fehlen uns die Worte.
- diese Woche
- dieses Jahr
- diejenigen
- Bedrohung
- Bedrohungsakteure
- Zeit
- zu
- Werkzeug
- verfolgen sind
- Tracking
- Türkei
- typisch
- unbekannt
- -
- benutzt
- Mitglied
- Verwendung von
- Variante
- Verkäufer
- sehr
- wurde
- Weg..
- Woche
- Westlich
- Westeuropa
- Fenster
- mit
- Jahr
- Zephyrnet