Telekomünikasyon şirketleri, verilerini ve ağlarını korumaları gereken gelişmiş kalıcı tehdit (APT) aktörlerinin zaten uzun olan listesine bir tane daha gelişmiş rakip ekleyebilir.
Yeni tehdit, ağustos ayında serap gibi ortaya çıkan ve Lua programlama dili için yüksek performanslı, tam zamanında derleyici olan LuaJIT'i kullanarak yeni bir arka kapı dağıtan, kökeni bilinmeyen bir grup olan "Sandman".
SentinelOne'daki araştırmacılar, Orta Doğu, Batı Avrupa ve Güney Asya'daki telekomünikasyon şirketlerine yapılan saldırılarda arka kapıyı "LuaDream" olarak gözlemlediler. Analizleri, kötü amaçlı yazılımın, sistem ve kullanıcı bilgilerini çalmak, gelecekteki saldırılara olanak sağlamak ve kötü amaçlı yazılımın yeteneklerini genişleten saldırgan tarafından sağlanan eklentileri yönetmek için bir dizi işleve sahip oldukça modüler olduğunu gösterdi.
SentinelOne araştırmacısı Aleksandar Milenkoski, şirketin konferansında sunduğu bir makalede, "Şu anda güvenilir bir atıf anlayışı yok" dedi. LABScon bu hafta konferans. "Mevcut veriler, farklı coğrafi bölgelerdeki telekomünikasyon sağlayıcılarını hedeflemeye güçlü bir şekilde odaklanan bir siber casusluk düşmanına işaret ediyor."
Popüler Bir Hedef
Telekom şirketleri, özellikle devlet destekli olanlar olmak üzere, tehdit aktörlerinin uzun süredir popüler bir hedefi olmuştur - sağladıkları fırsatlar nedeniyle insanları gözetlemek ve geniş çaplı siber casusluk yürütmek. Çağrı verileri kayıtları, mobil abone kimlik verileri ve operatör ağlarından gelen meta veriler, saldırganlara bireyleri ve ilgi gruplarını çok etkili bir şekilde izlemenin bir yolunu verebilir. Bu saldırıları gerçekleştiren grupların birçoğu Çin, İran ve Türkiye gibi ülkelerde bulunuyor.
Son zamanlarda, iki faktörlü kimlik doğrulama için telefonların kullanılması, saldırganların çevrimiçi hesaplara girme arayışına girmesine neden oldu diğer sebep Telekom şirketlerinin peşine düşmek. Bu saldırılardan bazıları, büyük ölçekte SIM değiştirme (başka bir kişinin telefon numarasını saldırganın kontrolündeki bir cihaza taşıma) gerçekleştirmek için operatör ağlarına girmeyi içeriyordu.
Sandman'in ana kötü amaçlı yazılımı LuaDream, 34 farklı bileşen içerir ve komuta ve kontrol (C2) için birden fazla protokolü destekler; bu da önemli ölçekte bir operasyona işaret eder. Milenkoski kayıt edilmiş.
Meraklı Bir Seçim
Bileşenlerin on üçü, kötü amaçlı yazılım başlatma, C2 iletişimleri, eklenti yönetimi ve kullanıcı ve sistem bilgilerinin sızması gibi temel işlevleri destekler. Geriye kalan bileşenler, Lua kitaplıklarının ve LuaDream işlemleri için Windows API'lerinin uygulanması gibi destek işlevlerini yerine getirir.
Milenkoski, kötü amaçlı yazılımın dikkate değer yönlerinden birinin LuaJIT kullanması olduğunu belirtti. LuaJIT genellikle geliştiricilerin oyun uygulamaları ve diğer özel uygulamalar ve kullanım durumları bağlamında kullandıkları bir şeydir. “Son derece modüler, Lua kullanan kötü amaçlı yazılım nispeten nadir görülen bir durum; Sauron Projesi Siber casusluk platformu da nadir görülen örneklerden biri” dedi. Ayrıca, APT kötü amaçlı yazılımlarında kullanılmasının, üçüncü taraf bir güvenlik sağlayıcısının kampanyaya dahil olma ihtimaline işaret ettiğini de belirtti.
SentinelOne'ın analizi, tehdit aktörünün hedef ağa erişim sağlamasının ardından dikkat edilmesi gereken en önemli noktanın dikkat çekmemek ve mümkün olduğunca göze çarpmamak olduğunu gösterdi. Grup başlangıçta idari kimlik bilgilerini çalıyor ve özellikle hedeflenen iş istasyonlarına, özellikle de yönetici pozisyonlarındaki kişilere atanan iş istasyonlarına sızmak amacıyla ele geçirilen ağ üzerinde sessizce keşif yapıyor. SentinelOne araştırmacıları, tehdit aktörünün, tespit edilmeyi en aza indirmek için uç nokta saldırıları arasında ortalama beş günlük bir boşluk bıraktığını gözlemledi. Milenkoski, bir sonraki adımın genellikle Sandman oyuncularının LuaDream'i yüklemek ve yürütmek için klasörleri ve dosyaları dağıtmasını içerdiğini söyledi.
LuaDream'in özellikleri, Kaspersky'deki araştırmacıların bu yılın başlarında Pakistan devlet kurumunu hedef alan bir kampanyada kullanıldığını gözlemlediği DreamLand adlı başka bir kötü amaçlı yazılım aracının bir çeşidi olduğunu gösteriyor. Milenkoski, LuaDream gibi, Kaspersky'nin keşfettiği kötü amaçlı yazılımın da oldukça modüler olduğunu, çünkü Lua'yı JIT derleyicisiyle birlikte kullanarak kodu tespit edilmesi zor bir şekilde yürütmek için kullandığını söyledi. O dönemde Kaspersky, kötü amaçlı yazılımı, Sauron Projesi ve diğer eski kampanyalardan bu yana Lua'yı kullanan bir APT aktörünün ilk örneği olarak tanımlamıştı. Hayvan Çiftliği.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/attacks-breaches/mysterious-sandman-apt-targets-telecom-sector-with-novel-backdoor
- :vardır
- :dır-dir
- 7
- a
- erişim
- Hesaplar
- karşısında
- aktörler
- eklemek
- idari
- ileri
- Sonra
- karşı
- ajans
- zaten
- Ayrıca
- an
- analiz
- ve
- Başka
- API'ler
- uygulamaları
- APT
- ARE
- Dizi
- AS
- Asya
- boy
- atanmış
- At
- saldırılar
- Ağustos
- Doğrulama
- mevcut
- ortalama
- arka kapı
- merkezli
- olmuştur
- olmak
- arasında
- Büyük
- mola
- Kırma
- geniş
- Kampanya
- CAN
- yetenekleri
- durumlarda
- Çin
- kod
- İletişim
- Şirketler
- şirket
- bileşenler
- Uzlaşılmış
- Davranış
- iletken
- davranışlarda
- Konferans
- birlikte
- önemli
- içeren
- bağlam
- çekirdek
- ülkeler
- Tanıtım
- meraklı
- Siber
- veri
- Veri noktaları
- dağıtma
- tarif edilen
- Bulma
- geliştiriciler
- cihaz
- keşfetti
- farklı
- çeşitli
- dublajlı
- Daha erken
- Doğu
- etkili bir şekilde
- etkinleştirme
- Son nokta
- özellikle
- casusluk
- AVRUPA
- örnekler
- yürütmek
- yürütme
- dumping
- uzatmak
- Özellikler
- dosyalar
- Ad
- odak
- İçin
- itibaren
- fonksiyonlar
- gelecek
- Kazançlar
- kumar
- boşluk
- coğrafi
- Vermek
- verilmiş
- Go
- Hükümet
- grup
- Grubun
- Var
- he
- yüksek performans
- büyük ölçüde
- ipuçları
- HTTPS
- Kimlik
- uygulanması
- in
- bireyler
- bilgi
- başlangıçta
- örnek
- faiz
- içine
- ilgili
- Iran
- IT
- ONUN
- JIT
- jpg
- Kaspersky
- dil
- kütüphaneler
- sevmek
- Liste
- yükleme
- Uzun
- bakıyor
- Düşük
- Ana
- Bakımı
- kötü amaçlı yazılım
- yönetim
- yönetimsel
- yönetme
- tavır
- çok
- Kitle
- Metadata
- Orta
- Orta Doğu
- Telefon
- modüler
- Daha
- çoklu
- gizemli
- gerek
- ağ
- ağlar
- yeni
- sonraki
- yok hayır
- ünlü
- dikkate değer
- roman
- numara
- of
- büyük
- on
- bir Zamanlar
- ONE
- olanlar
- Online
- operasyon
- Operasyon
- Fırsatlar
- köken
- Diğer
- kâğıt
- Yapmak
- kişi
- telefon
- telefonlar
- platform
- Platon
- Plato Veri Zekası
- PlatoVeri
- fişe takmak
- eklentileri
- noktaları
- Popüler
- pozisyonları
- olasılık
- mümkün
- sundu
- Programlama
- proje
- korumak
- protokolleri
- sağlamak
- sağlayıcılar
- sessizce
- NADİR
- geçenlerde
- kayıtlar
- bölgeler
- Nispeten
- güvenilir
- kalan
- araştırmacı
- Araştırmacılar
- s
- Adı geçen
- ölçek
- sektör
- güvenlik
- arayan
- duyu
- gösterdi
- görme
- beri
- biraz
- bir şey
- sofistike
- güney
- Uzmanlık
- özellikle
- top çalma
- adım
- güçlü
- abone
- böyle
- önermek
- destek
- Destekler
- sistem
- Hedef
- Hedeflenen
- hedefleme
- hedefler
- telekom
- telekomünikasyon
- telekomünikasyon
- o
- The
- ve bazı Asya
- Orada.
- Bunlar
- onlar
- üçüncü şahıslara ait
- Re-Tweet
- Bu hafta
- Bu yıl
- Bu
- tehdit
- tehdit aktörleri
- zaman
- için
- araç
- iz
- Takip
- Türkiye
- tipik
- bilinmeyen
- kullanım
- Kullanılmış
- kullanıcı
- kullanma
- Varyant
- satıcı
- çok
- oldu
- Yol..
- hafta
- batı
- Doğu Avrupa
- pencereler
- ile
- yıl
- zefirnet