Teleyritykset voivat lisätä yhden hienostuneen vihollisen jo pitkälle kehittyneiden pysyvien uhkien (APT) toimijoiden luetteloon, joilta niiden on suojattava tietojaan ja verkkojaan.
Uusi uhka on "Sandman", tuntematonta alkuperää oleva ryhmä, joka ilmestyi mirage-kuin elokuussa ja on ottanut käyttöön uudenlaisen takaoven käyttämällä LuaJIT:tä, korkean suorituskyvyn, just-in-time -kääntäjää Lua-ohjelmointikielelle.
SentinelOnen tutkijat jäljittävät takaoven nimellä "LuaDream" havaittuaan sen televiestintäyrityksiin kohdistuneissa hyökkäyksissä Lähi-idässä, Länsi-Euroopassa ja Etelä-Aasiassa. Heidän analyysinsä osoitti, että haittaohjelma on erittäin modulaarinen, ja siinä on joukko toimintoja järjestelmä- ja käyttäjätietojen varastamiseen, tulevien hyökkäysten mahdollistamiseen ja hyökkääjien toimittamien lisäosien hallintaan, jotka laajentavat haittaohjelman ominaisuuksia.
"Tällä hetkellä ei ole luotettavaa attribuutiota", SentinelOne-tutkija Aleksandar Milenkoski sanoi paperissa, jonka hän esitteli yhtiön tilaisuudessa. LABScon konferenssi tällä viikolla. "Saatavilla olevat tiedot viittaavat kybervakoilun vastustajaan, joka keskittyy voimakkaasti televiestintäpalvelujen tarjoajiin eri maantieteellisillä alueilla."
Suosittu kohde
Televiestintäyritykset ovat pitkään olleet suosittu kohde uhkatekijöille – erityisesti valtion tukemille - niiden tarjoamien mahdollisuuksien takia vakoilee ihmisiä ja suorittaa laajaa kybervakoilua. Puhelutiedot, matkapuhelintilaajan identiteettitiedot ja operaattoriverkkojen metatiedot voivat antaa hyökkääjille tavan seurata yksilöitä ja kiinnostavia ryhmiä erittäin tehokkaasti. Monet näitä hyökkäyksiä tehneistä ryhmistä ovat toimineet sellaisissa maissa kuin Kiina, Iran ja Turkki.
Äskettäin puhelinten käyttö kaksivaiheiseen todentamiseen on antanut hyökkääjille, jotka haluavat murtautua verkkotileille toinen syy lähteä teleyritysten perään. Joissakin näistä hyökkäyksistä on murtauduttu operaattoriverkkoihin SIM-kortin vaihtamiseksi – toisen henkilön puhelinnumeron siirtämiseksi hyökkääjän ohjaamaan laitteeseen – massamittakaavassa.
Sandmanin päähaittaohjelma, LuaDream, sisältää 34 erillistä komponenttia ja tukee useita komento- ja ohjausprotokollia (C2), mikä osoittaa huomattavan mittakaavan toiminnan. Milenkoski huomioitu.
Utelias valinta
Kolmetoista komponentista tukevat ydintoimintoja, kuten haittaohjelmien alustus, C2-viestintä, laajennusten hallinta sekä käyttäjä- ja järjestelmätietojen suodattaminen. Loput komponentit suorittavat tukitoimintoja, kuten Lua-kirjastojen ja Windows-sovellusliittymien toteuttamisen LuaDream-toimintoja varten.
Yksi huomionarvoinen piirre haittaohjelmassa on sen LuaJITin käyttö, Milenkoski huomautti. LuaJIT on tyypillisesti jotain, jota kehittäjät käyttävät pelisovellusten ja muiden erikoissovellusten ja käyttötapausten yhteydessä. "Erittäin modulaarinen, Luaa hyödyntävä haittaohjelma on suhteellisen harvinainen näky Projekti Sauron kybervakoilualusta on yksi harvoin nähdyistä esimerkeistä", hän sanoi. Sen käyttö APT-haittaohjelmissa vihjaa mahdollisuuteen, että kampanjaan osallistuu kolmannen osapuolen tietoturvatoimittaja, hän myös huomautti.
SentinelOnen analyysi osoitti, että kun uhkatoimija pääsee kohdeverkkoon, yksi suuri painopiste on olla alhaalla ja olla mahdollisimman huomaamaton. Ryhmä varastaa aluksi hallinnolliset valtuustiedot ja tekee hiljaa tiedusteluja vaarantuneessa verkossa pyrkiessään murtautumaan erityisesti kohdistetuille työasemille – erityisesti johtotehtävissä oleville henkilöille osoitetuille työasemille. SentinelOne-tutkijat havaitsivat uhkatekijän pitävän keskimäärin viiden päivän taukoa päätepisteiden murtautumisten välillä havaitsemisen minimoimiseksi. Seuraavassa vaiheessa Sandman-näyttelijät ottavat tyypillisesti käyttöön kansioita ja tiedostoja LuaDreamin lataamista ja suorittamista varten, Milenkoski sanoi.
LuaDreamin ominaisuudet viittaavat siihen, että se on muunnelma toisesta haittaohjelmatyökalusta nimeltä DreamLand, jonka Kasperskyn tutkijat havaitsivat aiemmin tänä vuonna, että sitä käytettiin Pakistanin valtion virastoon kohdistetussa kampanjassa. Kuten LuaDream, myös Kasperskyn löytämä haittaohjelma oli erittäin modulaarinen, koska se käytti Luaa yhdessä JIT-kääntäjän kanssa koodin suorittamiseen vaikeasti havaittavalla tavalla, Milenkoski sanoi. Tuolloin Kaspersky kuvaili haittaohjelmaa ensimmäiseksi APT-näyttelijästä, joka käytti Luaa Project Sauronin ja toisen vanhemman kampanjan jälkeen. Eläinperhe.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/attacks-breaches/mysterious-sandman-apt-targets-telecom-sector-with-novel-backdoor
- :on
- :On
- 7
- a
- pääsy
- Tilit
- poikki
- toimijoiden
- lisätä
- hallinnollinen
- kehittynyt
- Jälkeen
- vastaan
- toimisto
- jo
- Myös
- an
- analyysi
- ja
- Toinen
- API
- sovellukset
- APT
- OVAT
- Ryhmä
- AS
- Aasia
- ulkomuoto
- osoitettu
- At
- Hyökkäykset
- Elokuu
- Authentication
- saatavissa
- keskimäärin
- takaoven
- perustua
- ollut
- ovat
- välillä
- Iso
- Tauko
- Breaking
- laaja
- Kampanja
- CAN
- kyvyt
- tapauksissa
- Kiina
- koodi
- Yhteydenpito
- Yritykset
- yritys
- osat
- Vaarantunut
- Suorittaa
- johtavat
- toimintatapoja,
- Konferenssi
- yhdessä
- huomattava
- sisältää
- tausta
- Ydin
- maahan
- Valtakirja
- utelias
- cyber
- tiedot
- datapisteet
- levityspinnalta
- on kuvattu
- Detection
- kehittäjille
- laite
- löysi
- selvä
- useat
- dubattuna
- Aikaisemmin
- Itään
- tehokkaasti
- mahdollistaa
- päätepiste
- erityisesti
- vakoilu
- Eurooppa
- Esimerkit
- suorittaa
- täytäntöönpanosta
- suodatus
- laajentaa
- Ominaisuudet
- Asiakirjat
- Etunimi
- Keskittää
- varten
- alkaen
- tehtävät
- tulevaisuutta
- voitto
- pelaamista
- kuilu
- maantieteellinen
- Antaa
- tietty
- Go
- Hallitus
- Ryhmä
- Ryhmän
- Olla
- he
- korkea suorituskyky
- erittäin
- vihjeitä
- HTTPS
- Identiteetti
- täytäntöönpanosta
- in
- henkilöt
- tiedot
- ensin
- esimerkki
- korko
- tulee
- osallistuva
- Iran
- IT
- SEN
- JIT
- jpg
- Kaspersky
- Kieli
- kirjastot
- pitää
- Lista
- lastaus
- Pitkät
- näköinen
- Matala
- tärkein
- ylläpitäminen
- haittaohjelmat
- johto
- johto-
- toimitusjohtaja
- tapa
- monet
- Massa
- Metadata
- Keskimmäinen
- Lähi-itä
- Puhelinnumero
- modulaarinen
- lisää
- moninkertainen
- salaperäinen
- Tarve
- verkko
- verkot
- Uusi
- seuraava
- Nro
- huomattava
- huomionarvoinen
- romaani
- numero
- of
- vanhempi
- on
- kerran
- ONE
- yhdet
- verkossa
- toiminta
- Operations
- Mahdollisuudet
- alkuperä
- Muut
- Paperi
- Suorittaa
- henkilö
- puhelin
- puhelimet
- foorumi
- Platon
- Platonin tietotieto
- PlatonData
- kytkeä
- liitännäiset
- pistettä
- Suosittu
- kantoja
- mahdollisuus
- mahdollinen
- esitetty
- Ohjelmointi
- projekti
- suojella
- protokollat
- toimittaa
- tarjoajat
- hiljaa
- HARVINAINEN
- äskettäin
- asiakirjat
- alueet
- suhteellisesti
- luotettava
- jäljellä oleva
- tutkija
- Tutkijat
- s
- Said
- Asteikko
- sektori
- turvallisuus
- etsiä
- tunne
- osoittivat
- Näky
- koska
- jonkin verran
- jotain
- hienostunut
- Etelä
- Erikoisuus
- erityisesti
- varastaa
- Vaihe
- vahva
- tilaaja
- niin
- ehdottaa
- tuki
- Tukee
- järjestelmä
- Kohde
- kohdennettu
- kohdistaminen
- tavoitteet
- Telecom
- tietoliikenne
- tietoliikenne
- että
- -
- heidän
- Siellä.
- Nämä
- ne
- kolmannen osapuolen
- tätä
- tällä viikolla
- Tämä vuosi
- ne
- uhkaus
- uhka toimijat
- aika
- että
- työkalu
- raita
- Seuranta
- Turkki
- tyypillisesti
- tuntematon
- käyttää
- käytetty
- käyttäjä
- käyttämällä
- variantti
- myyjä
- hyvin
- oli
- Tapa..
- viikko
- western
- Länsi-Eurooppa
- ikkunat
- with
- vuosi
- zephyrnet