As empresas de telecomunicações podem adicionar mais um adversário sofisticado à já longa lista de agentes de ameaças persistentes avançadas (APT) contra os quais precisam proteger os seus dados e redes.
A nova ameaça é “Sandman”, um grupo de origem desconhecida que surgiu como uma miragem em agosto e vem implantando um novo backdoor usando LuaJIT, um compilador just-in-time de alto desempenho para a linguagem de programação Lua.
Pesquisadores do SentinelOne estão rastreando o backdoor como “LuaDream” depois de observá-lo em ataques a empresas de telecomunicações no Oriente Médio, Europa Ocidental e Sul da Ásia. A análise mostrou que o malware é altamente modular, com uma série de funções para roubar informações do sistema e do usuário, possibilitando ataques futuros e gerenciando plug-ins fornecidos pelo invasor que ampliam os recursos do malware.
“Neste momento, não há um senso confiável de atribuição”, disse Aleksandar Milenkoski, pesquisador do SentinelOne, em um artigo que apresentou no evento da empresa. LABScon conferência esta semana. “Os dados disponíveis apontam para um adversário de espionagem cibernética com forte foco em atingir provedores de telecomunicações em diversas regiões geográficas.”
Um alvo popular
As empresas de telecomunicações têm sido um alvo popular para os agentes de ameaças – especialmente os apoiados pelo Estado - pelas oportunidades que oferecem espionando pessoas e conduzindo ampla espionagem cibernética. Registros de dados de chamadas, dados de identidade de assinantes móveis e metadados de redes de operadoras podem fornecer aos invasores uma maneira de rastrear indivíduos e grupos de interesse de maneira muito eficaz. Muitos dos grupos que conduzem estes ataques têm base em países como a China, o Irão e a Turquia.
Mais recentemente, o uso de telefones para autenticação de dois fatores deu aos invasores que desejam invadir contas on-line. outra razão para ir atrás de empresas de telecomunicações. Alguns desses ataques envolveram a invasão de redes de operadoras para realizar trocas de SIM – portabilidade do número de telefone de outra pessoa para um dispositivo controlado pelo invasor – em grande escala.
O principal malware do Sandman, LuaDream, contém 34 componentes distintos e suporta múltiplos protocolos de comando e controle (C2), indicando uma operação de escala considerável, Milenkoski notado.
Uma escolha curiosa
Treze dos componentes suportam funções básicas, como inicialização de malware, comunicações C2, gerenciamento de plug-ins e exfiltração de informações do usuário e do sistema. Os componentes restantes executam funções de suporte, como implementação de bibliotecas Lua e APIs do Windows para operações LuaDream.
Um aspecto digno de nota do malware é o uso do LuaJIT, observou Milenkoski. LuaJIT normalmente é algo que os desenvolvedores usam no contexto de aplicativos de jogos e outros aplicativos especializados e casos de uso. “Malware altamente modular que utiliza Lua é uma visão relativamente rara, com o Projeto Sauron plataforma de ciberespionagem é um dos exemplos raramente vistos”, disse ele. Seu uso em malware APT sugere a possibilidade de um fornecedor de segurança terceirizado estar envolvido na campanha, observou ele também.
A análise do SentinelOne mostrou que, uma vez que o agente da ameaça obtém acesso a uma rede alvo, um grande foco é permanecer discreto e ser o mais discreto possível. O grupo inicialmente rouba credenciais administrativas e conduz discretamente o reconhecimento da rede comprometida, buscando invadir estações de trabalho especificamente direcionadas – especialmente aquelas atribuídas a indivíduos em cargos gerenciais. Os pesquisadores do SentinelOne observaram que o agente da ameaça mantinha um intervalo médio de cinco dias entre invasões de endpoint para minimizar a detecção. A próxima etapa normalmente envolve atores do Sandman implantando pastas e arquivos para carregar e executar LuaDream, disse Milenkoski.
Os recursos do LuaDream sugerem que é uma variante de outra ferramenta de malware chamada DreamLand que pesquisadores da Kaspersky observaram no início deste ano sendo usada em uma campanha direcionada a uma agência governamental do Paquistão. Assim como o LuaDream, o malware descoberto pela Kaspersky também era altamente modular, pois usava Lua em conjunto com o compilador JIT para executar código de maneira difícil de detectar, disse Milenkoski. Na época, a Kaspersky descreveu o malware como a primeira instância de um ator APT usando Lua desde o Projeto Sauron e outra campanha mais antiga chamada Fazenda de animais.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/attacks-breaches/mysterious-sandman-apt-targets-telecom-sector-with-novel-backdoor
- :tem
- :é
- 7
- a
- Acesso
- Contas
- em
- atores
- adicionar
- administrativo
- avançado
- Depois de
- contra
- agência
- já
- tb
- an
- análise
- e
- Outro
- APIs
- aplicações
- APT
- SOMOS
- Ordem
- AS
- Ásia
- aspecto
- atribuído
- At
- Ataques
- AGOSTO
- Autenticação
- disponível
- média
- Porta dos fundos
- baseado
- sido
- ser
- entre
- Grande
- Break
- Quebra
- amplo
- Campanha
- CAN
- capacidades
- casos
- China
- código
- Comunicações
- Empresas
- Empresa
- componentes
- Comprometido
- Conduzir
- condutor
- conduz
- Conferência
- conjunção
- considerável
- contém
- contexto
- núcleo
- países
- Credenciais
- curioso
- cibernético
- dados,
- Os pontos de dados
- Implantação
- descrito
- Detecção
- desenvolvedores
- dispositivo
- descoberto
- distinto
- diferente
- apelidado
- Mais cedo
- Leste
- efetivamente
- permitindo
- Ponto final
- especialmente
- espionagem
- Europa
- exemplos
- executar
- executando
- exfiltração
- estender
- Funcionalidades
- Arquivos
- Primeiro nome
- Foco
- Escolha
- da
- funções
- futuro
- Ganhos
- jogos
- lacuna
- geográfico
- OFERTE
- dado
- Go
- Governo
- Grupo
- Do grupo
- Ter
- he
- alta performance
- altamente
- dicas
- HTTPS
- Identidade
- implementação
- in
- indivíduos
- INFORMAÇÕES
- inicialmente
- instância
- interesse
- para dentro
- envolvido
- Irão
- IT
- ESTÁ
- JIT
- jpg
- Kaspersky
- língua
- bibliotecas
- como
- Lista
- carregamento
- longo
- procurando
- Baixo
- a Principal
- Manter
- malwares
- de grupos
- gerencial
- gestão
- maneira
- muitos
- Massa
- metadados
- Coração
- Médio Oriente
- Móvel Esteira
- modulares
- mais
- múltiplo
- misterioso
- você merece...
- rede
- redes
- Novo
- Próximo
- não
- notado
- notável
- romance
- número
- of
- mais velho
- on
- uma vez
- ONE
- queridos
- online
- operação
- Operações
- oportunidades
- origem
- Outros
- Papel
- Realizar
- pessoa
- telefone
- telefones
- plataforma
- platão
- Inteligência de Dados Platão
- PlatãoData
- plug-in
- plugins
- pontos
- Popular
- abertas
- possibilidade
- possível
- apresentado
- Programação
- projeto
- proteger
- protocolos
- fornecer
- fornecedores
- silenciosamente
- RARO
- recentemente
- registros
- regiões
- relativamente
- confiável
- remanescente
- investigador
- pesquisadores
- s
- Dito
- Escala
- setor
- segurança
- busca
- sentido
- mostrou
- Vista
- desde
- alguns
- algo
- sofisticado
- Sul
- Especialidade
- especificamente
- rouba
- Passo
- mais forte,
- assinante
- tal
- sugerir
- ajuda
- suportes
- .
- Target
- visadas
- alvejando
- tem como alvo
- telecom
- telecomunicação
- telecomunicações
- que
- A
- deles
- Lá.
- Este
- deles
- De terceiros
- isto
- esta semana
- este ano
- aqueles
- ameaça
- atores de ameaças
- tempo
- para
- ferramenta
- pista
- Rastreamento
- Peru
- tipicamente
- desconhecido
- usar
- usava
- Utilizador
- utilização
- Variante
- fornecedor
- muito
- foi
- Caminho..
- semana
- Ocidental
- Europa Ocidental
- Windows
- de
- ano
- zefirnet