Telekomselskaper kan legge til en sofistikert motstander til den allerede lange listen over avanserte vedvarende trusler (APT) aktører de trenger for å beskytte data og nettverk mot.
Den nye trusselen er "Sandman", en gruppe av ukjent opprinnelse som dukket opp luftspeiling-lignende i august og har distribuert en ny bakdør ved hjelp av LuaJIT, en høyytelses, just-in-time kompilator for programmeringsspråket Lua.
Forskere ved SentinelOne sporer bakdøren som "LuaDream" etter å ha observert den i angrep på telekommunikasjonsselskaper i Midtøsten, Vest-Europa og Sør-Asia. Analysen deres viste at skadevaren er svært modulær med en rekke funksjoner for å stjele system- og brukerinformasjon, muliggjøre fremtidige angrep og administrere angriperleverte plugins som utvider skadevarens muligheter.
"På dette tidspunktet er det ingen pålitelig følelse av attribusjon," sa SentinelOne-forsker Aleksandar Milenkoski i en artikkel han presenterte på selskapets LABScon konferanse denne uken. "Tilgjengelige data peker på en motstander av nettspionasje med et sterkt fokus på å målrette mot telekommunikasjonsleverandører på tvers av forskjellige geografiske regioner."
Et populært mål
Telekomselskaper har lenge vært et populært mål for trusselaktører - spesielt statsstøttede - på grunn av mulighetene de gir spionere på folk og drive bred nettspionasje. Anropsdataposter, mobilabonnentidentitetsdata og metadata fra operatørnettverk kan gi angripere en måte å spore enkeltpersoner og interessegrupper svært effektivt. Mange av gruppene som utfører disse angrepene har vært basert i land som Kina, Iran og Tyrkia.
Nylig har bruken av telefoner for tofaktorautentisering gitt angripere som ønsker å bryte seg inn på nettkontoer en annen grunn å gå etter telekomselskaper. Noen av disse angrepene har involvert å bryte seg inn i operatørnettverk for å utføre SIM-bytte - portering av en annen persons telefonnummer til en angriperkontrollert enhet - i masseskala.
Sandmans viktigste skadevare, LuaDream, inneholder 34 forskjellige komponenter og støtter flere protokoller for kommando-og-kontroll (C2), noe som indikerer en operasjon av betydelig skala, Milenkoski bemerket.
Et nysgjerrig valg
Tretten av komponentene støtter kjernefunksjoner som initialisering av skadelig programvare, C2-kommunikasjon, plugin-administrasjon og eksfiltrering av bruker- og systeminformasjon. De resterende komponentene utfører støttefunksjoner som å implementere Lua-biblioteker og Windows APIer for LuaDream-operasjoner.
Et bemerkelsesverdig aspekt ved skadelig programvare er bruken av LuaJIT, bemerket Milenkoski. LuaJIT er typisk noe utviklere bruker i sammenheng med spillapplikasjoner og andre spesialapplikasjoner og brukstilfeller. "Svært modulært, Lua-brukende skadelig programvare er et relativt sjeldent syn, med Prosjekt Sauron plattform for nettspionasje er et av de sjeldent sett eksemplene," sa han. Bruken i APT malware antyder muligheten for at en tredjeparts sikkerhetsleverandør er involvert i kampanjen, bemerket han også.
SentinelOnes analyse viste at når trusselaktøren først får tilgang til et målnettverk, er ett stort fokus på å legge seg lavt og være så lite påtrengende som mulig. Gruppen stjeler til å begynne med administrativ legitimasjon og gjennomfører i det stille rekognosering på det kompromitterte nettverket som søker å bryte seg inn på spesifikt målrettede arbeidsstasjoner - spesielt de som er tildelt personer i lederstillinger. SentinelOne-forskere observerte at trusselaktøren opprettholder et gjennomsnitt på fem dager mellom endepunktinnbrudd for å minimere deteksjon. Det neste trinnet involverer vanligvis Sandman-skuespillere som distribuerer mapper og filer for å laste og kjøre LuaDream, sa Milenkoski.
LuaDreams funksjoner antyder at det er en variant av et annet skadelig programvareverktøy kalt DreamLand som forskere ved Kaspersky observerte tidligere i år ble brukt i en kampanje rettet mot et pakistansk myndighetsorgan. I likhet med LuaDream, var skadelig programvare som Kaspersky oppdaget også svært modulær ettersom Lua ble brukt i forbindelse med JIT-kompilatoren for å utføre kode på en vanskelig å oppdage måte, sa Milenkoski. På den tiden beskrev Kaspersky skadevaren som den første forekomsten av en APT-skuespiller som brukte Lua siden Project Sauron og en annen eldre kampanje ble kalt Dyregård.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/attacks-breaches/mysterious-sandman-apt-targets-telecom-sector-with-novel-backdoor
- : har
- :er
- 7
- a
- adgang
- kontoer
- tvers
- aktører
- legge til
- administrativ
- avansert
- Etter
- mot
- byrå
- allerede
- også
- an
- analyse
- og
- En annen
- APIer
- søknader
- APT
- ER
- Array
- AS
- asia
- aspektet
- tildelt
- At
- Angrep
- August
- Autentisering
- tilgjengelig
- gjennomsnittlig
- backdoor
- basert
- vært
- være
- mellom
- Stor
- Break
- Breaking
- bred
- Kampanje
- CAN
- evner
- saker
- Kina
- kode
- kommunikasjon
- Selskaper
- Selskapet
- komponenter
- kompromittert
- Gjennomføre
- gjennomføre
- dirigerer
- Konferanse
- sammen
- betydelig
- inneholder
- kontekst
- Kjerne
- land
- Credentials
- nysgjerrig
- cyber
- dato
- datapunkter
- utplasserings
- beskrevet
- Gjenkjenning
- utviklere
- enhet
- oppdaget
- distinkt
- diverse
- dubbet
- Tidligere
- øst
- effektivt
- muliggjør
- Endpoint
- spesielt
- spionasje
- Europa
- eksempler
- henrette
- utførende
- eksfiltrering
- utvide
- Egenskaper
- Filer
- Først
- Fokus
- Til
- fra
- funksjoner
- framtid
- inntjening
- gaming
- mellomrom
- geografiske
- Gi
- gitt
- Go
- Regjeringen
- Gruppe
- Gruppens
- Ha
- he
- høy ytelse
- svært
- hint
- HTTPS
- Identitet
- implementere
- in
- individer
- informasjon
- i utgangspunktet
- f.eks
- interesse
- inn
- involvert
- Iran
- IT
- DET ER
- JIT
- jpg
- Kaspersky
- Språk
- bibliotekene
- i likhet med
- Liste
- lasting
- Lang
- ser
- Lav
- Hoved
- Vedlike
- malware
- ledelse
- ledelses
- administrerende
- måte
- mange
- Mass
- metadata
- Middle
- Midtøsten
- Mobil
- modulære
- mer
- flere
- mystisk
- Trenger
- nettverk
- nettverk
- Ny
- neste
- Nei.
- bemerket
- bemerkelsesverdig
- roman
- Antall
- of
- eldre
- on
- gang
- ONE
- seg
- på nett
- drift
- Drift
- Muligheter
- opprinnelse
- Annen
- Papir
- Utfør
- person
- telefon
- telefoner
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- plugg inn
- plugins
- poeng
- Populær
- stillinger
- mulighet
- mulig
- presentert
- Programmering
- prosjekt
- beskytte
- protokoller
- gi
- tilbydere
- stille
- SJELDEN
- nylig
- poster
- regioner
- relativt
- pålitelig
- gjenværende
- forsker
- forskere
- s
- Sa
- Skala
- sektor
- sikkerhet
- søker
- forstand
- viste
- Syn
- siden
- noen
- noe
- sofistikert
- Sør
- Spesialitet
- spesielt
- stjeler
- Trinn
- sterk
- abonnent
- slik
- foreslår
- støtte
- Støtter
- system
- Target
- målrettet
- rettet mot
- mål
- telekom
- telekommunikasjon
- telekommunikasjon
- Det
- De
- deres
- Der.
- Disse
- de
- tredjeparts
- denne
- denne uka
- dette året
- De
- trussel
- trusselaktører
- tid
- til
- verktøy
- spor
- Sporing
- Kalkun
- typisk
- ukjent
- bruke
- brukt
- Bruker
- ved hjelp av
- variant
- leverandør
- veldig
- var
- Vei..
- uke
- Western
- Vest-Europa
- vinduer
- med
- år
- zephyrnet