通信会社は、自社のデータとネットワークを保護する必要がある高度永続的脅威 (APT) 攻撃者の長いリストに、さらに高度な攻撃者を XNUMX つ追加できます。
新しい脅威は、XNUMX 月に蜃気楼のように出現した出所不明のグループ「Sandman」で、Lua プログラミング言語用の高性能なジャストインタイム コンパイラである LuaJIT を使用した新しいバックドアを展開しています。
SentinelOne の研究者らは、中東、西ヨーロッパ、南アジアの通信会社に対する攻撃でバックドアを観察した後、このバックドアを「LuaDream」として追跡しています。 彼らの分析によると、このマルウェアは高度にモジュール化されており、システムおよびユーザー情報を盗み、将来の攻撃を可能にし、マルウェアの機能を拡張する攻撃者が提供するプラグインを管理するための一連の機能を備えています。
「現時点では、信頼できる帰属意識はない」とセンチネルワンの研究者アレクサンダー・ミレンコスキ氏は同社の講演会で発表した論文の中で述べた。 ラボコン 今週のカンファレンス。 「入手可能なデータは、さまざまな地理的地域にわたる通信プロバイダーをターゲットにすることに重点を置いたサイバースパイ活動を行っていることを示しています。」
人気のターゲット
通信会社は長い間、脅威アクター、特に国家支援のターゲットとしてよく使われてきました。 - 彼らが提供する機会のおかげで、 人々をスパイする そして広範なサイバースパイ活動を行っています。 攻撃者は、通話データ記録、モバイル加入者 ID データ、通信事業者ネットワークからのメタデータを利用して、関心のある個人やグループを非常に効果的に追跡することができます。 こうした攻撃を行っているグループの多くは、中国、イラン、トルコなどの国に拠点を置いています。
最近では、XNUMX 要素認証に電話を使用することで、攻撃者がオンライン アカウントに侵入しようとしています。 もう一つの理由 通信会社を狙う。 これらの攻撃の中には、通信事業者のネットワークに侵入して SIM スワッピング (他人の電話番号を攻撃者が管理するデバイスに移植) を大規模に実行するものも含まれています。
Sandman の主なマルウェアである LuaDream には 34 の異なるコンポーネントが含まれており、コマンド アンド コントロール (C2) 用の複数のプロトコルをサポートしていることから、かなり大規模な操作が行われていることがわかります。 ミレンコスキ と指摘した。
興味深い選択
コンポーネントのうち 2 つは、マルウェアの初期化、CXNUMX 通信、プラグイン管理、ユーザーおよびシステム情報の漏洩などのコア機能をサポートします。 残りのコンポーネントは、Lua ライブラリや LuaDream 操作用の Windows API の実装などのサポート機能を実行します。
このマルウェアの注目すべき側面の XNUMX つは、LuaJIT の使用であるとミレンコスキー氏は指摘しました。 LuaJIT は通常、開発者がゲーム アプリケーションやその他の特殊なアプリケーションやユースケースのコンテキストで使用するものです。 「高度にモジュール化された Lua を利用するマルウェアは比較的まれに見られます。 プロジェクトサウロン サイバースパイプラットフォームは、めったに見られない例のXNUMXつです」と彼は述べた。 APTマルウェアでの使用は、サードパーティのセキュリティベンダーがキャンペーンに関与している可能性を示唆しているとも同氏は指摘した。
SentinelOne の分析によると、攻撃者がターゲット ネットワークにアクセスできるようになると、できるだけ目立たずに潜伏することに大きな焦点が当てられます。 このグループはまず管理者の資格情報を盗み、侵害されたネットワークで密かに偵察を行い、特に管理職に割り当てられたワークステーションに侵入しようとします。 SentinelOne の研究者は、攻撃者が検出を最小限に抑えるためにエンドポイント侵入の間に平均 XNUMX 日の間隔を維持していることを観察しました。 ミレンコスキー氏によると、次のステップでは通常、Sandman の攻撃者が LuaDream をロードして実行するためのフォルダーとファイルを展開する必要があります。
LuaDream の機能は、これがパキスタン政府機関を標的としたキャンペーンで使用されているのを今年初めにカスペルスキーの研究者が観察した DreamLand と呼ばれる別のマルウェア ツールの亜種であることを示唆しています。 LuaDream と同様に、Kaspersky が発見したマルウェアも高度にモジュール化されており、Lua を JIT コンパイラーと組み合わせて使用し、検出が困難な方法でコードを実行していたとミレンコスキー氏は述べています。 当時、カスペルスキーはこのマルウェアを、Project Sauron と呼ばれる別の古いキャンペーン以来、Lua を使用する APT アクターの最初の例であると説明しました。 動物農場.
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/attacks-breaches/mysterious-sandman-apt-targets-telecom-sector-with-novel-backdoor
- :持っている
- :は
- 7
- a
- アクセス
- アカウント
- 越えて
- 俳優
- 加えます
- 行政の
- 高度な
- 後
- に対して
- 代理店
- 既に
- また
- an
- 分析
- および
- 別の
- API
- APT
- です
- 配列
- AS
- アジア
- 側面
- 割り当てられた
- At
- 攻撃
- 8月
- 認証
- 利用できます
- 平均
- 裏口
- ベース
- き
- さ
- の間に
- ビッグ
- ブレーク
- 破壊
- 広い
- キャンペーン
- 缶
- 機能
- 例
- 中国
- コード
- 通信部
- 企業
- 会社
- コンポーネント
- 損害を受けた
- プロフェッショナルな方法で
- 導電性
- 行動する
- 講演
- 共同
- かなりの
- 含まれています
- コンテキスト
- 基本
- 国
- Credentials
- 興味深い
- サイバー
- データ
- データポイント
- 展開する
- 記載された
- 検出
- 開発者
- デバイス
- 発見
- 明確な
- 異なる
- ダビングされた
- 前
- 東
- 効果的に
- 有効にする
- エンドポイント
- 特に
- スパイ
- ヨーロッパ
- 例
- 実行します
- 実行
- 流出
- 伸ばす
- 特徴
- 名
- フォーカス
- から
- 機能
- 未来
- 利益
- 賭博
- ギャップ
- 地理的
- 与える
- 与えられた
- Go
- 政府・公共機関
- グループ
- グループの
- 持ってる
- he
- ハイパフォーマンス
- 非常に
- ヒント
- HTTPS
- アイデンティティ
- 実装
- in
- 個人
- 情報
- 当初
- 関心
- に
- 関係する
- イラン
- IT
- ITS
- JIT
- JPG
- カスペルスキー
- 言語
- ライブラリ
- ような
- リスト
- ローディング
- 長い
- 探して
- ロー
- メイン
- 保守
- マルウェア
- 管理
- 経営者
- 管理する
- 方法
- 多くの
- 質量
- 真ん中
- 中東
- モバイル
- モジュラー
- 他には?
- の試合に
- 神秘的な
- 必要
- ネットワーク
- ネットワーク
- 新作
- 次の
- いいえ
- 注意
- 注目に値する
- 小説
- 数
- of
- 古い
- on
- かつて
- ONE
- もの
- オンライン
- 操作
- 業務執行統括
- 機会
- 起源
- その他
- 紙素材
- 実行する
- 人
- 電話
- 携帯電話
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- プラグイン
- プラグイン
- ポイント
- 人気
- ポジション
- 可能性
- 可能
- PLM platform.
- プログラミング
- プロジェクト
- 守る
- プロトコル
- 提供します
- プロバイダ
- 静かに
- 珍しい
- 最近
- 記録
- 地域
- 相対的に
- 信頼性のある
- 残り
- 研究者
- 研究者
- s
- 前記
- 規模
- セクター
- セキュリティ
- を求める
- センス
- 示されました
- 視力
- から
- 一部
- 何か
- 洗練された
- サウス
- 専門
- 特に
- 盗む
- 手順
- 強い
- 加入者
- そのような
- 示唆する
- サポート
- サポート
- ターゲット
- 対象となります
- ターゲット
- ターゲット
- 電気通信
- テレコミュニケーション
- 電気通信
- それ
- アプリ環境に合わせて
- そこ。
- ボーマン
- 彼ら
- サードパーティ
- この
- 今週
- 今年
- それらの
- 脅威
- 脅威アクター
- 時間
- 〜へ
- ツール
- 追跡する
- 追跡
- Turkey
- 一般的に
- 未知の
- つかいます
- 中古
- ユーザー
- バリアント
- ベンダー
- 非常に
- ました
- 仕方..
- 週間
- 西部の
- ウィンドウズ
- 年
- ゼファーネット