Le aziende di telecomunicazioni possono aggiungere un avversario più sofisticato alla già lunga lista di attori APT (Advanced Persistent Threat) da cui devono proteggere i propri dati e le proprie reti.
La nuova minaccia è “Sandman”, un gruppo di origine sconosciuta emerso come un miraggio in agosto e che ha implementato una nuova backdoor utilizzando LuaJIT, un compilatore just-in-time ad alte prestazioni per il linguaggio di programmazione Lua.
I ricercatori di SentinelOne stanno rintracciando la backdoor come “LuaDream” dopo averla osservata negli attacchi alle società di telecomunicazioni in Medio Oriente, Europa occidentale e Asia meridionale. La loro analisi ha mostrato che il malware è altamente modulare con una serie di funzioni per rubare informazioni sul sistema e sull'utente, consentire attacchi futuri e gestire plug-in forniti dagli aggressori che estendono le capacità del malware.
"Al momento non esiste un senso di attribuzione affidabile", ha affermato il ricercatore di SentinelOne Aleksandar Milenkoski in un articolo presentato alla sede dell'azienda. LABScon conferenza questa settimana. “I dati disponibili indicano un avversario di spionaggio informatico con una forte attenzione nel prendere di mira i fornitori di telecomunicazioni in diverse regioni geografiche”.
Un bersaglio popolare
Le società di telecomunicazioni sono da tempo un obiettivo popolare per gli autori delle minacce, in particolare quelle sostenute dallo Stato - per le opportunità che offrono spiare le persone e condurre un ampio spionaggio informatico. I record dei dati delle chiamate, i dati sull'identità degli abbonati mobili e i metadati delle reti degli operatori possono offrire agli aggressori un modo per tracciare individui e gruppi di interesse in modo molto efficace. Molti dei gruppi che conducono questi attacchi avevano sede in paesi come Cina, Iran e Turchia.
Più recentemente, l’uso dei telefoni per l’autenticazione a due fattori ha dato la possibilità agli aggressori di tentare di violare gli account online un'altra ragione per attaccare le società di telecomunicazioni. Alcuni di questi attacchi hanno comportato l'irruzione nelle reti degli operatori per effettuare lo scambio di SIM, ovvero trasferire il numero di telefono di un'altra persona su un dispositivo controllato dall'aggressore, su scala di massa.
Il malware principale di Sandman, LuaDream, contiene 34 componenti distinti e supporta più protocolli di comando e controllo (C2), indicando un'operazione su vasta scala. Milenkoski notato.
Una scelta curiosa
Tredici componenti supportano funzioni principali come l'inizializzazione del malware, le comunicazioni C2, la gestione dei plug-in e l'esfiltrazione delle informazioni sull'utente e sul sistema. I restanti componenti eseguono funzioni di supporto come l'implementazione delle librerie Lua e delle API Windows per le operazioni LuaDream.
Un aspetto degno di nota del malware è l'uso di LuaJIT, ha osservato Milenkoski. LuaJIT è in genere qualcosa che gli sviluppatori utilizzano nel contesto di applicazioni di gioco e altre applicazioni e casi d'uso speciali. “Il malware altamente modulare che utilizza Lua è uno spettacolo relativamente raro, con il Progetto Sauron la piattaforma di spionaggio informatico è uno degli esempi raramente visti", ha affermato. Il suo utilizzo nel malware APT suggerisce la possibilità che un fornitore di sicurezza di terze parti sia coinvolto nella campagna, ha inoltre osservato.
L'analisi di SentinelOne ha dimostrato che una volta che l'autore della minaccia ottiene l'accesso a una rete presa di mira, l'obiettivo principale è restare discreto ed essere il più discreto possibile. Inizialmente il gruppo ruba le credenziali amministrative e conduce silenziosamente una ricognizione sulla rete compromessa cercando di entrare in postazioni di lavoro mirate, in particolare quelle assegnate a individui in posizioni manageriali. I ricercatori di SentinelOne hanno osservato che l'autore della minaccia mantiene in media un intervallo di cinque giorni tra le intrusioni negli endpoint per ridurre al minimo il rilevamento. Il passaggio successivo in genere prevede che gli attori di Sandman distribuiscano cartelle e file per caricare ed eseguire LuaDream, ha affermato Milenkoski.
Le caratteristiche di LuaDream suggeriscono che si tratti di una variante di un altro strumento malware chiamato DreamLand che i ricercatori di Kaspersky avevano osservato all'inizio di quest'anno mentre veniva utilizzato in una campagna contro un'agenzia governativa pakistana. Come LuaDream, anche il malware scoperto da Kaspersky era altamente modulare poiché utilizzava Lua insieme al compilatore JIT per eseguire codice in un modo difficile da rilevare, ha affermato Milenkoski. All'epoca, Kaspersky descrisse il malware come il primo caso in cui un attore APT utilizzava Lua dai tempi di Project Sauron e di un'altra campagna precedente soprannominata Fattoria di animali.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/attacks-breaches/mysterious-sandman-apt-targets-telecom-sector-with-novel-backdoor
- :ha
- :È
- 7
- a
- accesso
- conti
- operanti in
- attori
- aggiungere
- amministrativo
- Avanzate
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- agenzia
- già
- anche
- an
- .
- ed
- Un altro
- API
- applicazioni
- APT
- SONO
- Italia
- AS
- Asia
- aspetto
- addetto
- At
- attacchi
- AGOSTO
- Autenticazione
- disponibile
- media
- porta posteriore
- basato
- stato
- essendo
- fra
- Big
- Rompere
- Rottura
- ampio
- Campagna
- Materiale
- funzionalità
- casi
- Cina
- codice
- Comunicazioni
- Aziende
- azienda
- componenti
- Compromissione
- Segui il codice di Condotta
- conduzione
- comportamenti
- Convegno
- congiunzione
- notevole
- contiene
- contesto
- Nucleo
- paesi
- Credenziali
- curioso
- Cyber
- dati
- punti dati
- distribuzione
- descritta
- rivelazione
- sviluppatori
- dispositivo
- scoperto
- distinto
- paesaggio differenziato
- soprannominato
- In precedenza
- est
- in maniera efficace
- consentendo
- endpoint
- particolarmente
- spionaggio
- Europa
- Esempi
- eseguire
- esecuzione
- esfiltrazione
- estendere
- Caratteristiche
- File
- Nome
- Focus
- Nel
- da
- funzioni
- futuro
- Guadagni
- gaming
- divario
- geografico
- Dare
- dato
- Go
- Enti Pubblici
- Gruppo
- Gruppo
- Avere
- he
- Alte prestazioni
- vivamente
- suggerimenti
- HTTPS
- Identità
- Implementazione
- in
- individui
- informazioni
- inizialmente
- esempio
- interesse
- ai miglioramenti
- coinvolto
- Iran
- IT
- SUO
- JIT
- jpg
- Kaspersky
- Lingua
- biblioteche
- piace
- Lista
- Caricamento in corso
- Lunghi
- cerca
- Basso
- Principale
- Mantenere
- il malware
- gestione
- manageriale
- gestione
- modo
- molti
- Massa
- Metadati
- In mezzo
- Medio Oriente
- Mobile
- componibile
- Scopri di più
- multiplo
- misterioso
- Bisogno
- Rete
- reti
- New
- GENERAZIONE
- no
- noto
- degno di nota
- romanzo
- numero
- of
- maggiore
- on
- una volta
- ONE
- quelli
- online
- operazione
- Operazioni
- Opportunità
- origine
- Altro
- Carta
- Eseguire
- persona
- telefono
- telefoni
- piattaforma
- Platone
- Platone Data Intelligence
- PlatoneDati
- plug-in
- i plugin
- punti
- Popolare
- posizioni
- possibilità
- possibile
- presentata
- Programmazione
- progetto
- protegge
- protocolli
- fornire
- fornitori
- tranquillamente
- RARO
- recentemente
- record
- regioni
- relativamente
- affidabile
- rimanente
- ricercatore
- ricercatori
- s
- Suddetto
- Scala
- settore
- problemi di
- cerca
- senso
- ha mostrato
- Vista
- da
- alcuni
- qualcosa
- sofisticato
- Sud
- Specialità
- in particolare
- ruba
- step
- forte
- abbonato
- tale
- suggerire
- supporto
- supporti
- sistema
- Target
- mirata
- mira
- obiettivi
- telecom
- telecomunicazione
- telecomunicazioni
- che
- I
- loro
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- di parti terze standard
- questo
- questa settimana
- quest'anno
- quelli
- minaccia
- attori della minaccia
- tempo
- a
- pista
- Tracking
- Turchia
- tipicamente
- Sconosciuto
- uso
- utilizzato
- Utente
- utilizzando
- Variante
- venditore
- molto
- Prima
- Modo..
- settimana
- Occidentale
- Europa occidentale
- finestre
- con
- anno
- zefiro