Les entreprises de télécommunications peuvent ajouter un adversaire sophistiqué à la liste déjà longue des menaces persistantes avancées (APT) contre lesquelles elles doivent protéger leurs données et leurs réseaux.
La nouvelle menace est « Sandman », un groupe d'origine inconnue qui a fait surface comme un mirage en août et a déployé une nouvelle porte dérobée utilisant LuaJIT, un compilateur juste-à-temps hautes performances pour le langage de programmation Lua.
Les chercheurs de SentinelOne traquent la porte dérobée sous le nom de « LuaDream » après l'avoir observée lors d'attaques contre des entreprises de télécommunications au Moyen-Orient, en Europe occidentale et en Asie du Sud. Leur analyse a montré que le logiciel malveillant est hautement modulaire, avec une gamme de fonctions permettant de voler des informations sur le système et les utilisateurs, de permettre de futures attaques et de gérer les plugins fournis par les attaquants qui étendent les capacités du logiciel malveillant.
"À l'heure actuelle, il n'existe aucun sentiment d'attribution fiable", a déclaré Aleksandar Milenkoski, chercheur chez SentinelOne, dans un article présenté au congrès de l'entreprise. LABScon conférence cette semaine. "Les données disponibles indiquent un adversaire de cyberespionnage qui se concentre fortement sur le ciblage des fournisseurs de télécommunications dans diverses régions géographiques."
Une cible populaire
Les entreprises de télécommunications sont depuis longtemps une cible privilégiée des auteurs de menaces, en particulier celles soutenues par l'État. - en raison des opportunités qu'ils offrent espionner les gens et mener un vaste cyberespionnage. Les enregistrements de données d'appel, les données d'identité des abonnés mobiles et les métadonnées des réseaux des opérateurs peuvent donner aux attaquants un moyen très efficace de suivre les individus et les groupes d'intérêt. De nombreux groupes menant ces attaques sont basés dans des pays comme la Chine, l’Iran et la Turquie.
Plus récemment, l'utilisation de téléphones pour l'authentification à deux facteurs a donné aux attaquants cherchant à s'introduire dans des comptes en ligne une autre raison s'en prendre aux entreprises de télécommunications. Certaines de ces attaques ont consisté à s'introduire dans les réseaux des opérateurs pour procéder à un échange de carte SIM (porter le numéro de téléphone d'une autre personne vers un appareil contrôlé par un attaquant) à grande échelle.
Le principal malware de Sandman, LuaDream, contient 34 composants distincts et prend en charge plusieurs protocoles de commande et de contrôle (C2), ce qui indique une opération d'une ampleur considérable, Milenkoski c'est noté.
Un choix curieux
Treize des composants prennent en charge des fonctions de base telles que l'initialisation des logiciels malveillants, les communications C2, la gestion des plugins et l'exfiltration des informations utilisateur et système. Les composants restants remplissent des fonctions de support telles que la mise en œuvre des bibliothèques Lua et des API Windows pour les opérations LuaDream.
Un aspect remarquable du malware est son utilisation de LuaJIT, a noté Milenkoski. LuaJIT est généralement quelque chose que les développeurs utilisent dans le contexte d'applications de jeux et d'autres applications et cas d'utilisation spécialisés. « Les logiciels malveillants hautement modulaires utilisant Lua sont relativement rares, avec le Projet Sauron la plate-forme de cyberespionnage est l’un des exemples les plus rares », a-t-il déclaré. Son utilisation dans les logiciels malveillants APT laisse entrevoir la possibilité qu'un fournisseur de sécurité tiers soit impliqué dans la campagne, a-t-il également noté.
L'analyse de SentinelOne a montré qu'une fois que l'acteur malveillant a accès à un réseau cible, il doit se concentrer sur la discrétion et être aussi discret que possible. Le groupe vole dans un premier temps les informations d'identification administratives et effectue discrètement des reconnaissances sur le réseau compromis, cherchant à s'introduire dans des postes de travail spécifiquement ciblés, en particulier ceux attribués à des personnes occupant des postes de direction. Les chercheurs de SentinelOne ont observé que l'auteur de la menace maintenait un intervalle de cinq jours en moyenne entre les effractions des points finaux afin de minimiser la détection. La prochaine étape implique généralement que les acteurs Sandman déploient des dossiers et des fichiers pour charger et exécuter LuaDream, a déclaré Milenkoski.
Les fonctionnalités de LuaDream suggèrent qu'il s'agit d'une variante d'un autre outil malveillant baptisé DreamLand que les chercheurs de Kaspersky ont observé plus tôt cette année et utilisé dans une campagne ciblant une agence gouvernementale pakistanaise. Comme LuaDream, le malware découvert par Kaspersky était également hautement modulaire car il utilisait Lua en conjonction avec le compilateur JIT pour exécuter du code d'une manière difficile à détecter, a déclaré Milenkoski. À l'époque, Kaspersky décrivait le malware comme la première instance d'un acteur APT utilisant Lua depuis le projet Sauron et une autre campagne plus ancienne baptisée Animal de ferme.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/attacks-breaches/mysterious-sandman-apt-targets-telecom-sector-with-novel-backdoor
- :possède
- :est
- 7
- a
- accès
- hybrides
- à travers
- acteurs
- ajouter
- administratif
- Avancée
- Après
- à opposer à
- agence
- déjà
- aussi
- an
- selon une analyse de l’Université de Princeton
- ainsi que le
- Une autre
- Apis
- applications
- APT
- SONT
- tableau
- AS
- Asie
- d'aspect
- attribué
- At
- Attaques
- Août
- Authentification
- disponibles
- moyen
- détourné
- basé
- était
- va
- jusqu'à XNUMX fois
- Big
- Pause
- Rupture
- vaste
- Campagne
- CAN
- capacités
- cas
- Chine
- code
- Communications
- Sociétés
- Société
- composants électriques
- Compromise
- Conduire
- conduite
- conduit
- Congrès
- conjonction
- considérable
- contient
- contexte
- Core
- d'exportation
- Lettres de créance
- curieux
- cyber
- données
- points de données
- déployer
- décrit
- Détection
- mobiles
- dispositif
- découvert
- distinct
- plusieurs
- doublé
- Plus tôt
- Est
- de manière efficace
- permettant
- Endpoint
- notamment
- espionnage
- Europe
- exemples
- exécuter
- exécution
- exfiltration
- étendre
- Fonctionnalités:
- Fichiers
- Prénom
- Focus
- Pour
- De
- fonctions
- avenir
- Gains
- jeux
- écart
- géographique
- Donner
- donné
- Go
- Gouvernement
- Réservation de groupe
- Groupes
- Vous avez
- he
- haute performance
- très
- indices
- HTTPS
- Identite
- la mise en œuvre
- in
- individus
- d'information
- possible
- instance
- intérêt
- développement
- impliqué
- l'Iran
- IT
- SES
- JIT
- jpg
- Kaspersky
- langue
- bibliothèques
- comme
- Liste
- chargement
- Location
- recherchez-
- Faible
- Entrée
- Maintenir
- malware
- gestion
- en gestion
- les gérer
- manière
- de nombreuses
- Masse
- Métadonnées
- Milieu
- Moyen-Orient
- Breeze Mobile
- application
- PLUS
- plusieurs
- mystérieux
- Besoin
- réseau et
- réseaux
- Nouveauté
- next
- aucune
- noté
- remarquable
- roman
- nombre
- of
- plus
- on
- une fois
- ONE
- et, finalement,
- en ligne
- opération
- Opérations
- Opportunités
- origine
- Autre
- Papier
- Effectuer
- personne
- Téléphone
- téléphones
- plateforme
- Platon
- Intelligence des données Platon
- PlatonDonnées
- plug-in
- plugins
- des notes bonus
- Populaire
- positions
- possibilité
- possible
- présenté
- Programmation
- Projet
- protéger
- protocoles
- fournir
- fournisseurs
- tranquillement
- RARE
- récemment
- Articles
- régions
- relativement
- fiable
- restant
- chercheur
- chercheurs
- s
- Saïd
- Escaliers intérieurs
- secteur
- sécurité
- recherche
- sens
- montré
- Vue
- depuis
- quelques
- quelque chose
- sophistiqué
- Région Sud
- Hébergement spécial
- spécifiquement
- vole
- étapes
- STRONG
- abonné
- tel
- suggérer
- Support
- Les soutiens
- combustion propre
- Target
- des campagnes marketing ciblées,
- ciblage
- objectifs
- télécommunications
- télécommunication
- monde de télécommunications
- qui
- Les
- leur
- Là.
- Ces
- l'ont
- des tiers.
- this
- cette semaine
- cette année
- ceux
- menace
- acteurs de la menace
- fiable
- à
- outil
- suivre
- Tracking
- Turquie
- typiquement
- inconnu
- utilisé
- d'utiliser
- Utilisateur
- en utilisant
- Variante
- vendeur
- très
- était
- Façon..
- semaine
- Occidental
- Europe occidentale
- fenêtres
- comprenant
- an
- zéphyrnet