Firmy telekomunikacyjne mogą dodać jeszcze jednego wyrafinowanego przeciwnika do już długiej listy zaawansowanych, trwałych zagrożeń (APT), przed którymi muszą chronić swoje dane i sieci.
Nowym zagrożeniem jest „Sandman” – grupa nieznanego pochodzenia, która pojawiła się niczym miraż w sierpniu i wdraża nowatorskiego backdoora przy użyciu LuaJIT, wysokowydajnego kompilatora just-in-time dla języka programowania Lua.
Badacze z SentinelOne śledzą backdoora jako „LuaDream” po zaobserwowaniu go w atakach na firmy telekomunikacyjne na Bliskim Wschodzie, w Europie Zachodniej i Azji Południowej. Ich analiza wykazała, że szkodliwe oprogramowanie jest wysoce modułowe i posiada szereg funkcji umożliwiających kradzież informacji o systemie i użytkowniku, umożliwianie przyszłych ataków oraz zarządzanie wtyczkami dostarczonymi przez osobę atakującą, które rozszerzają możliwości szkodliwego oprogramowania.
„W tej chwili nie ma wiarygodnego poczucia atrybucji” – stwierdził Aleksandar Milenkoski, badacz SentinelOne, w artykule zaprezentowanym na konferencji firmowej LABScon konferencja w tym tygodniu. „Dostępne dane wskazują na przeciwnika cyberszpiegostwa, który koncentruje się głównie na dostawcach usług telekomunikacyjnych w różnych regionach geograficznych”.
Popularny cel
Firmy telekomunikacyjne od dawna są popularnym celem cyberprzestępców, zwłaszcza tych wspieranych przez państwo - ze względu na możliwości, jakie dają szpiegowanie ludzi oraz prowadzenie szerokiego cyberszpiegostwa. Rejestry danych połączeń, dane dotyczące tożsamości abonenta sieci komórkowej i metadane z sieci operatorów mogą zapewnić atakującym możliwość bardzo skutecznego śledzenia osób i grup interesów. Wiele grup przeprowadzających te ataki miało siedziby w takich krajach jak Chiny, Iran i Turcja.
Niedawno wykorzystanie telefonów do uwierzytelniania dwuskładnikowego skłoniło atakujących do włamania się na konta internetowe inny powód ścigać firmy telekomunikacyjne. Niektóre z tych ataków polegały na włamywaniu się do sieci operatorów w celu wymiany kart SIM — przeniesienia numeru telefonu innej osoby na urządzenie kontrolowane przez osobę atakującą — na masową skalę.
Główne szkodliwe oprogramowanie Sandmana, LuaDream, zawiera 34 różne komponenty i obsługuje wiele protokołów dowodzenia i kontroli (C2), co wskazuje na operację na znaczną skalę, Milenkoski znakomity.
Ciekawy wybór
Trzynaście komponentów obsługuje podstawowe funkcje, takie jak inicjowanie złośliwego oprogramowania, komunikacja C2, zarządzanie wtyczkami oraz eksfiltracja informacji o użytkowniku i systemie. Pozostałe komponenty pełnią funkcje pomocnicze, takie jak implementacja bibliotek Lua i interfejsów API Windows dla operacji LuaDream.
Milenkoski zauważył, że godnym uwagi aspektem tego szkodliwego oprogramowania jest wykorzystanie LuaJIT. LuaJIT jest zazwyczaj narzędziem używanym przez programistów w kontekście aplikacji do gier oraz innych specjalistycznych aplikacji i przypadków użycia. „Wysoce modułowe złośliwe oprogramowanie wykorzystujące Lua jest stosunkowo rzadkim widokiem, ponieważ Projekt Sauron platforma cyberszpiegowska to jeden z rzadko spotykanych przykładów” – stwierdził. Zauważył również, że jego wykorzystanie w złośliwym oprogramowaniu APT wskazuje na możliwość zaangażowania w kampanię zewnętrznego dostawcy zabezpieczeń.
Analiza SentinelOne wykazała, że gdy ugrupowanie zagrażające uzyska dostęp do sieci docelowej, główny nacisk kładzie się na ukrycie się i zachowanie jak największej dyskrecji. Grupa początkowo kradnie dane uwierzytelniające administratora i po cichu przeprowadza rekonesans w zaatakowanej sieci, próbując włamać się do specjalnie wybranych stacji roboczych — zwłaszcza tych przypisanych do osób na stanowiskach kierowniczych. Badacze SentinelOne zaobserwowali, że ugrupowanie zagrażające utrzymuje średnio pięciodniową przerwę między włamaniami do punktów końcowych, aby zminimalizować wykrywanie. Następny krok zazwyczaj polega na tym, że aktorzy Sandmana wdrażają foldery i pliki w celu załadowania i uruchomienia LuaDream, powiedział Milenkoski.
Funkcje LuaDream sugerują, że jest to odmiana innego szkodliwego narzędzia o nazwie DreamLand, które badacze z Kaspersky zaobserwowali na początku tego roku w kampanii skierowanej przeciwko pakistańskiej agencji rządowej. Podobnie jak LuaDream, szkodliwe oprogramowanie wykryte przez Kaspersky również miało charakter wysoce modułowy, ponieważ wykorzystywało Lua w połączeniu z kompilatorem JIT do wykonywania kodu w sposób trudny do wykrycia, powiedział Milenkoski. W tamtym czasie Kaspersky opisał to szkodliwe oprogramowanie jako pierwsze wystąpienie ugrupowania APT korzystającego z Lua od czasu Projektu Sauron i innej starszej kampanii nazwanej Farma zwierząt.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/attacks-breaches/mysterious-sandman-apt-targets-telecom-sector-with-novel-backdoor
- :ma
- :Jest
- 7
- a
- dostęp
- Konta
- w poprzek
- aktorzy
- Dodaj
- administracyjny
- zaawansowany
- Po
- przed
- agencja
- już
- również
- an
- analiza
- i
- Inne
- Pszczoła
- aplikacje
- APT
- SĄ
- Szyk
- AS
- Azja
- aspekt
- przydzielony
- At
- Ataki
- Sierpnia
- Uwierzytelnianie
- dostępny
- średni
- tylne drzwi
- na podstawie
- być
- jest
- pomiędzy
- Duży
- przerwa
- Przełamując
- szeroki
- Kampania
- CAN
- możliwości
- Etui
- Chiny
- kod
- Komunikacja
- Firmy
- sukcesy firma
- składniki
- Zagrożone
- Prowadzenie
- prowadzenia
- prowadzi
- Konferencja
- spójnik
- znaczny
- zawiera
- kontekst
- rdzeń
- kraje
- Listy uwierzytelniające
- ciekawy
- cyber
- dane
- punkty danych
- wdrażanie
- opisane
- Wykrywanie
- deweloperzy
- urządzenie
- odkryty
- odrębny
- inny
- dubbingowane
- Wcześniej
- Wschód
- faktycznie
- umożliwiając
- Punkt końcowy
- szczególnie
- szpiegostwo
- Europie
- przykłady
- wykonać
- wykonywania
- eksfiltracja
- rozciągać się
- Korzyści
- Akta
- i terminów, a
- Skupiać
- W razie zamówieenia projektu
- od
- Funkcje
- przyszłość
- Zyski
- gier
- szczelina
- geograficzny
- Dać
- dany
- Go
- Rząd
- Zarządzanie
- Grupy
- Have
- he
- wysoka wydajność
- wysoko
- wskazówki
- HTTPS
- tożsamość
- wykonawczych
- in
- osób
- Informacja
- początkowo
- przykład
- odsetki
- najnowszych
- zaangażowany
- Iran
- IT
- JEGO
- JIT
- jpg
- Kaspersky
- język
- biblioteki
- lubić
- Lista
- załadunek
- długo
- poszukuje
- niski
- Główny
- Utrzymywanie
- malware
- i konserwacjami
- kierowniczy
- zarządzający
- sposób
- wiele
- Masa
- Metadane
- Środkowy
- Bliski Wschód
- Aplikacje mobilne
- Modułowa
- jeszcze
- wielokrotność
- tajemniczy
- Potrzebować
- sieć
- sieci
- Nowości
- Następny
- Nie
- zauważyć
- godny uwagi
- powieść
- numer
- of
- starszych
- on
- pewnego razu
- ONE
- te
- Online
- działanie
- operacje
- Szanse
- pochodzenie
- Inne
- Papier
- wykonać
- osoba
- telefon
- telefony
- Platforma
- plato
- Analiza danych Platona
- PlatoDane
- wtyczka
- wtyczki
- zwrotnica
- Popularny
- Pozycje
- możliwość
- możliwy
- przedstawione
- Programowanie
- projekt
- chronić
- protokoły
- zapewniać
- dostawców
- spokojnie
- RZADKO SPOTYKANY
- niedawno
- dokumentacja
- regiony
- stosunkowo
- rzetelny
- pozostały
- badacz
- Badacze
- s
- Powiedział
- Skala
- sektor
- bezpieczeństwo
- poszukuje
- rozsądek
- pokazał
- Widok
- ponieważ
- kilka
- coś
- wyrafinowany
- Południe
- Specjalność
- swoiście
- kradnie
- Ewolucja krok po kroku
- silny
- abonent
- taki
- sugerować
- wsparcie
- podpory
- system
- cel
- ukierunkowane
- kierowania
- cele
- Telecom
- telekomunikacja
- telekomunikacja
- że
- Połączenia
- ich
- Tam.
- Te
- one
- innych firm
- to
- w tym tygodniu
- w tym roku
- tych
- groźba
- podmioty grożące
- czas
- do
- narzędzie
- śledzić
- Śledzenie
- Turcja
- zazwyczaj
- nieznany
- posługiwać się
- używany
- Użytkownik
- za pomocą
- Wariant
- sprzedawca
- początku.
- była
- Droga..
- tydzień
- Western
- Europa Zachodnia
- okna
- w
- rok
- zefirnet