Telekommunikatsiooniettevõtted saavad lisada veel ühe keeruka vastase niigi pikale arenenud püsiva ohu (APT) osalejate nimekirja, kelle eest nad peavad oma andmeid ja võrke kaitsma.
Uus oht on "Sandman", tundmatu päritoluga rühm, mis kerkis augustis miraažilaadselt esile ja on juurutanud uudse tagaukse, kasutades LuaJIT-i, mis on suure jõudlusega ja õigel ajal Lua programmeerimiskeele kompilaator.
SentinelOne'i teadlased jälgivad tagaukse nimetust "LuaDream", olles jälginud seda Lähis-Ida, Lääne-Euroopa ja Lõuna-Aasia telekommunikatsiooniettevõtete vastu suunatud rünnakutes. Nende analüüs näitas, et pahavara on väga modulaarne ning sellel on palju funktsioone, mis võimaldavad varastada süsteemi- ja kasutajateavet, võimaldada tulevasi ründeid ja hallata ründaja pakutavaid pistikprogramme, mis laiendavad pahavara võimalusi.
"Praegu pole usaldusväärset omistamistunnet," ütles SentinelOne'i teadur Aleksandar Milenkoski ettekandes, mille ta esitles ettevõttes. LABScon konverents sel nädalal. "Saadaolevad andmed viitavad küberspionaaživastasele, kes keskendub tugevalt telekommunikatsiooniteenuse pakkujate sihtimisele erinevates geograafilistes piirkondades."
Populaarne sihtmärk
Telekommunikatsiooniettevõtted on pikka aega olnud ohus osalejate jaoks populaarne sihtmärk, eriti riigi toetatud ettevõtete jaoks - nende pakutavate võimaluste tõttu inimeste järele luuramine ja laiaulatusliku küberspionaaži läbiviimine. Kõneandmete kirjed, mobiiliabonendi identiteediandmed ja operaatorivõrkude metaandmed võivad anda ründajatele võimaluse üksikisikuid ja huvigruppe väga tõhusalt jälgida. Paljud neid rünnakuid korraldanud rühmitused on asunud sellistes riikides nagu Hiina, Iraan ja Türgi.
Viimasel ajal on telefonide kasutamine kahefaktoriliseks autentimiseks andnud ründajatele, kes soovivad veebikontodele sisse murda teine põhjus telekomifirmadele järele minna. Mõned neist rünnakutest on hõlmanud operaatorivõrkudesse sissemurdmist SIM-kaardi vahetamiseks – teise inimese telefoninumbri teisaldamiseks ründaja juhitavasse seadmesse – massiliselt.
Sandmani peamine pahavara LuaDream sisaldab 34 erinevat komponenti ja toetab mitut käskluse ja juhtimise (C2) protokolli, mis viitab märkimisväärsele toimingule, Milenkoski märkis.
Uudishimulik valik
Kolmteist komponenti toetavad põhifunktsioone, nagu pahavara lähtestamine, C2-side, pistikprogrammide haldamine ning kasutaja- ja süsteemiteabe väljafiltreerimine. Ülejäänud komponendid täidavad tugifunktsioone, nagu Lua teekide ja Windowsi API-de juurutamine LuaDreami toimingute jaoks.
Üks märkimisväärne ründevara aspekt on LuaJITi kasutamine, märkis Milenkoski. LuaJIT on tavaliselt midagi, mida arendajad kasutavad mängurakenduste ja muude spetsiaalsete rakenduste ja kasutusjuhtude kontekstis. "Väga modulaarne, Lua-d kasutav pahavara on suhteliselt haruldane nähtus Projekt Sauron küberspionaažiplatvorm on üks harvanähtavaid näiteid, ”sõnas ta. Ta märkis ka, et selle kasutamine APT pahavaras vihjab võimalusele, et kampaaniasse võib kaasata kolmanda osapoole turbemüüja.
SentinelOne'i analüüs näitas, et kui ohus osaleja saab juurdepääsu sihtvõrgule, keskendutakse sellele, et olla madalal tasemel ja olla võimalikult märkamatu. Algselt varastab rühmitus haldusmandaate ja teeb vaikselt luuret ohustatud võrgus, püüdes tungida konkreetselt sihitud tööjaamadesse, eriti nendesse, mis on määratud juhtivatel ametikohtadel olevatele isikutele. SentinelOne'i teadlased jälgisid, et ohutegija säilitas avastamise minimeerimiseks lõpp-punkti sissemurdmiste vahel keskmiselt viiepäevase vahe. Järgmine samm hõlmab tavaliselt Sandmani näitlejaid, kes juurutavad kaustu ja faile LuaDreami laadimiseks ja käivitamiseks, ütles Milenkoski.
LuaDreami funktsioonid viitavad sellele, et tegemist on teise pahavara tööriista nimega DreamLand variant, mida Kaspersky teadlased selle aasta alguses täheldasid Pakistani valitsusasutusele suunatud kampaanias. Nagu LuaDream, oli ka Kaspersky avastatud pahavara väga modulaarne, kuna kasutas Luat koos JIT-kompilaatoriga koodi käivitamiseks raskesti tuvastataval viisil, ütles Milenkoski. Sel ajal kirjeldas Kaspersky pahavara kui esimest juhtumit, kus APT näitleja kasutas Luat pärast projekti Sauron ja teist vanemat kampaaniat, mis on dubleeritud. Loomafarm.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/attacks-breaches/mysterious-sandman-apt-targets-telecom-sector-with-novel-backdoor
- :on
- :on
- 7
- a
- juurdepääs
- Kontod
- üle
- osalejad
- lisama
- haldus-
- edasijõudnud
- pärast
- vastu
- agentuur
- juba
- Ka
- an
- analüüs
- ja
- Teine
- API-liidesed
- rakendused
- APT
- OLEME
- Array
- AS
- Aasia
- aspekt
- määratud
- At
- Reageerib
- AUGUST
- Autentimine
- saadaval
- keskmine
- tagauks
- põhineb
- olnud
- on
- vahel
- Suur
- Murdma
- Purustamine
- lai
- Kampaania
- CAN
- võimeid
- juhtudel
- Hiina
- kood
- Side
- Ettevõtted
- ettevõte
- komponendid
- Kompromissitud
- Läbi viima
- Juhtimine
- dirigeerib
- Konverents
- koos
- märkimisväärne
- sisaldab
- kontekst
- tuum
- riikides
- volikiri
- uudishimulik
- cyber
- andmed
- andmepunktid
- juurutamine
- kirjeldatud
- Detection
- Arendajad
- seade
- avastasin
- eristatav
- mitu
- dubleeritud
- Ajalugu
- Ida
- tõhusalt
- võimaldades
- Lõpp-punkt
- eriti
- spionaaž
- Euroopa
- näited
- täitma
- hukkamine
- eksfiltreerimine
- laiendama
- FUNKTSIOONID
- Faile
- esimene
- Keskenduma
- eest
- Alates
- funktsioonid
- tulevik
- Kasum
- mäng
- lõhe
- geograafiline
- Andma
- antud
- Go
- Valitsus
- Grupp
- Grupi omad
- Olema
- he
- suur jõudlus
- kõrgelt
- vihjed
- HTTPS
- Identity
- rakendamisel
- in
- inimesed
- info
- esialgu
- Näiteks
- huvi
- sisse
- seotud
- Iraan
- IT
- ITS
- JIT
- jpg
- Kaspersky
- keel
- raamatukogud
- nagu
- nimekiri
- laadimine
- Pikk
- otsin
- Madal
- põhiline
- säilitamine
- malware
- juhtimine
- juhtimisega
- juhtiv
- viis
- palju
- Mass
- Metaandmed
- Kesk-
- Lähis-Ida
- mobiilne
- modulaarne
- rohkem
- mitmekordne
- salapärane
- Vajadus
- võrk
- võrgustikud
- Uus
- järgmine
- ei
- märkida
- märkimisväärne
- romaan
- number
- of
- vanem
- on
- kunagi
- ONE
- ones
- Internetis
- töö
- Operations
- Võimalused
- päritolu
- Muu
- Paber
- täitma
- inimene
- telefon
- telefonid
- inimesele
- Platon
- Platoni andmete intelligentsus
- PlatoData
- plugin
- pluginad
- võrra
- populaarne
- positsioone
- võimalus
- võimalik
- esitatud
- Programming
- projekt
- kaitsma
- protokollid
- anda
- pakkujad
- vaikselt
- HARULDANE
- hiljuti
- andmed
- piirkondades
- suhteliselt
- usaldusväärne
- ülejäänud
- uurija
- Teadlased
- s
- Ütlesin
- Skaala
- sektor
- turvalisus
- otsib
- tunne
- näitas
- vaatepilt
- alates
- mõned
- midagi
- keeruline
- Lõuna
- Eriala
- eriti
- varastatakse
- Samm
- tugev
- abonent
- selline
- soovitama
- toetama
- Toetab
- süsteem
- sihtmärk
- suunatud
- sihtimine
- eesmärgid
- telekommunikatsiooni
- elekterside
- telekommunikatsioon
- et
- .
- oma
- Seal.
- Need
- nad
- kolmanda osapoole
- see
- sel nädalal
- Sel aastal
- need
- oht
- ohus osalejad
- aeg
- et
- tööriist
- jälgida
- Jälgimine
- Türgi
- tüüpiliselt
- tundmatu
- kasutama
- Kasutatud
- Kasutaja
- kasutamine
- variant
- müüja
- väga
- oli
- Tee..
- nädal
- Lääne-
- Lääne-Euroopa
- aknad
- koos
- aasta
- sephyrnet