Telekomunikacijska podjetja lahko že tako dolgemu seznamu akterjev naprednih trajnih groženj (APT), pred katerimi morajo zaščititi svoje podatke in omrežja, dodajo še enega bolj izpopolnjenega nasprotnika.
Nova grožnja je »Sandman«, skupina neznanega izvora, ki se je kot prismuk pojavila avgusta in uvaja nova stranska vrata z uporabo LuaJIT, visoko zmogljivega pravočasnega prevajalnika za programski jezik Lua.
Raziskovalci pri SentinelOne sledijo zadnjim vratom kot "LuaDream", potem ko so jih opazili pri napadih na telekomunikacijska podjetja na Bližnjem vzhodu, v zahodni Evropi in južni Aziji. Njihova analiza je pokazala, da je zlonamerna programska oprema zelo modularna z nizom funkcij za krajo sistemskih in uporabniških informacij, omogočanje prihodnjih napadov in upravljanje vtičnikov, ki jih zagotovijo napadalci, ki razširjajo zmogljivosti zlonamerne programske opreme.
"V tem času ni zanesljivega občutka pripisovanja," je dejal raziskovalec SentinelOne Aleksandar Milenkoski v prispevku, ki ga je predstavil na LABScon konferenca ta teden. "Razpoložljivi podatki kažejo na nasprotnika kibernetskega vohunjenja z močnim poudarkom na ciljanju ponudnikov telekomunikacij v različnih geografskih regijah."
Priljubljena tarča
Telekomunikacijska podjetja so že dolgo priljubljena tarča akterjev groženj – zlasti tistih, ki jih podpira država - zaradi priložnosti, ki jih ponujajo vohunjenje za ljudmi in izvajanje širokega kibernetskega vohunjenja. Zapisi podatkov o klicih, podatki o identiteti mobilnih naročnikov in metapodatki iz operaterskih omrežij lahko napadalcem omogočijo zelo učinkovito sledenje posameznikom in interesnim skupinam. Številne skupine, ki izvajajo te napade, imajo sedež v državah, kot so Kitajska, Iran in Turčija.
Nedavno je uporaba telefonov za dvostopenjsko avtentikacijo omogočila napadalcem, da želijo vdreti v spletne račune. drug razlog loviti telekomunikacijska podjetja. Nekateri od teh napadov so vključevali vdor v omrežja operaterjev za izvedbo množične zamenjave kartice SIM – prenos telefonske številke druge osebe na napravo, ki jo nadzoruje napadalec.
Sandmanova glavna zlonamerna programska oprema, LuaDream, vsebuje 34 različnih komponent in podpira več protokolov za ukazovanje in nadzor (C2), kar kaže na operacijo precejšnjega obsega, Milenkoski opozoriti.
Nenavadna izbira
Trinajst komponent podpira ključne funkcije, kot so inicializacija zlonamerne programske opreme, komunikacije C2, upravljanje vtičnikov ter izločanje uporabniških in sistemskih informacij. Preostale komponente izvajajo podporne funkcije, kot je implementacija knjižnic Lua in Windows API-jev za operacije LuaDream.
Eden omembe vreden vidik zlonamerne programske opreme je njena uporaba LuaJIT, je opozoril Milenkoski. LuaJIT je običajno nekaj, kar razvijalci uporabljajo v kontekstu aplikacij za igre in drugih posebnih aplikacij in primerov uporabe. »Izjemno modularna zlonamerna programska oprema, ki uporablja Lua, je razmeroma redek pojav, saj Projekt Sauron Platforma za kibernetsko vohunjenje je eden izmed redko videnih primerov,« je dejal. Njegova uporaba v zlonamerni programski opremi APT namiguje na možnost, da je v kampanjo vpleten zunanji prodajalec varnosti, je še opozoril.
Analiza SentinelOne je pokazala, da ko akter grožnje pridobi dostop do ciljnega omrežja, je velik poudarek na tem, da se skrije in ostane čim manj moteč. Skupina sprva ukrade administrativne poverilnice in tiho izvaja izvidovanje ogroženega omrežja, da bi vdrla v posebej ciljne delovne postaje - zlasti tiste, ki so dodeljene posameznikom na vodstvenih položajih. Raziskovalci SentinelOne so opazili, da akter grožnje vzdržuje v povprečju petdnevni presledek med vdori v končne točke, da zmanjša odkrivanje. Naslednji korak običajno vključuje akterje Sandmana, ki nameščajo mape in datoteke za nalaganje in izvajanje LuaDream, je dejal Milenkoski.
Funkcije LuaDream kažejo, da gre za različico drugega orodja zlonamerne programske opreme, imenovanega DreamLand, ki so ga raziskovalci pri Kaspersky opazili v začetku tega leta, da se uporablja v kampanji, usmerjeni proti pakistanski vladni agenciji. Tako kot LuaDream je bila tudi zlonamerna programska oprema, ki jo je odkril Kaspersky, zelo modularna, saj je uporabljala Luo v povezavi s prevajalnikom JIT za izvajanje kode na težko zaznaven način, je dejal Milenkoski. Takrat je Kaspersky zlonamerno programsko opremo opisal kot prvi primer APT igralca, ki uporablja Luo od projekta Sauron in druge starejše kampanje sinhronizirane Animal Farm.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/attacks-breaches/mysterious-sandman-apt-targets-telecom-sector-with-novel-backdoor
- :ima
- : je
- 7
- a
- dostop
- računi
- čez
- akterji
- dodajte
- upravno
- napredno
- po
- proti
- agencija
- že
- Prav tako
- an
- Analiza
- in
- Še ena
- API-ji
- aplikacije
- APT
- SE
- Array
- AS
- asia
- vidik
- dodeljena
- At
- Napadi
- Avgust
- Preverjanje pristnosti
- Na voljo
- povprečno
- Zakulisni
- temeljijo
- bilo
- počutje
- med
- Big
- Break
- Breaking
- široka
- Akcija
- CAN
- Zmogljivosti
- primeri
- Kitajska
- Koda
- Communications
- Podjetja
- podjetje
- deli
- Ogroženo
- Ravnanje
- vodenje
- dirigira
- Konferenca
- veznik
- velika
- Vsebuje
- ozadje
- Core
- države
- Mandatno
- radovedna
- cyber
- datum
- podatkovne točke
- uvajanja
- opisano
- Odkrivanje
- Razvijalci
- naprava
- odkril
- izrazit
- razne
- poimenovan
- prej
- East
- učinkovito
- omogočanje
- Končna točka
- zlasti
- vohunjenja
- Evropa
- Primeri
- izvršiti
- izvršitve
- eksfiltracija
- razširiti
- Lastnosti
- datoteke
- prva
- Osredotočite
- za
- iz
- funkcije
- Prihodnost
- zaslužek
- igre na srečo
- vrzel
- geografsko
- Daj
- dana
- Go
- vlada
- skupina
- Skupine
- Imajo
- he
- visokozmogljivo
- zelo
- nasveti
- HTTPS
- identiteta
- izvajanja
- in
- posamezniki
- Podatki
- na začetku
- primer
- obresti
- v
- vključeni
- Iran
- IT
- ITS
- JIT
- jpg
- Kaspersky
- jezik
- knjižnice
- kot
- Seznam
- nalaganje
- Long
- si
- nizka
- Glavne
- vzdrževanje
- zlonamerna programska oprema
- upravljanje
- vodstvene
- upravljanje
- Način
- več
- Masa
- metapodatki
- Bližnji
- srednji vzhod
- Mobilni
- Modularna
- več
- več
- skrivnostna
- Nimate
- mreža
- omrežij
- Novo
- Naslednja
- št
- opozoriti
- vredno omeniti
- roman
- Številka
- of
- starejši
- on
- enkrat
- ONE
- tiste
- na spletu
- Delovanje
- operacije
- Priložnosti
- poreklo
- Ostalo
- Papir
- Izvedite
- oseba
- telefon
- telefoni
- platforma
- platon
- Platonova podatkovna inteligenca
- PlatoData
- vključiti
- plugins
- točke
- Popular
- pozicije
- možnost
- mogoče
- predstavljeni
- Programiranje
- Projekt
- zaščito
- protokoli
- zagotavljajo
- ponudniki
- tiho
- REDKO
- Pred kratkim
- evidence
- regije
- relativno
- zanesljiv
- Preostalih
- raziskovalec
- raziskovalci
- s
- Je dejal
- Lestvica
- sektor
- varnost
- iskanju
- Občutek
- je pokazala,
- Sight
- saj
- nekaj
- Nekaj
- prefinjeno
- South
- Posebnost
- posebej
- ukradejo
- Korak
- močna
- naročnik
- taka
- predlagajte
- podpora
- Podpira
- sistem
- ciljna
- ciljno
- ciljanje
- Cilji
- telecom
- telekomunikacije
- telekomunikacije
- da
- O
- njihove
- Tukaj.
- te
- jih
- tretjih oseb
- ta
- ta teden
- letos
- tisti,
- Grožnja
- akterji groženj
- čas
- do
- orodje
- sledenje
- Sledenje
- Turčija
- tipično
- neznan
- uporaba
- Rabljeni
- uporabnik
- uporabo
- Variant
- Prodajalec
- zelo
- je
- način..
- teden
- Zahodna
- Zahodna Evropa
- okna
- z
- leto
- zefirnet