Телекомунікаційні компанії можуть додати ще одного досвідченого супротивника до вже довгого списку розширених постійних загроз (APT), від яких вони потребують захисту своїх даних і мереж.
Новою загрозою є «Sandman», група невідомого походження, яка з’явилася як міраж у серпні та розгортає новий бекдор за допомогою LuaJIT, високопродуктивного своєчасного компілятора для мови програмування Lua.
Дослідники SentinelOne відстежують бекдор як «LuaDream» після того, як спостерігали його під час атак на телекомунікаційні компанії на Близькому Сході, у Західній Європі та Південній Азії. Їхній аналіз показав, що зловмисне програмне забезпечення є високомодульним із набором функцій для викрадення системної та користувацької інформації, уможливлення майбутніх атак і керування наданими зловмисниками плагінами, які розширюють можливості зловмисного програмного забезпечення.
«На даний момент немає надійного сенсу атрибуції», — сказав дослідник SentinelOne Александар Міленкоскі в статті, яку він представив на конференції компанії. LABScon конференції цього тижня. «Доступні дані вказують на кібершпигунство, яке зосереджено на телекомунікаційних провайдерах у різних географічних регіонах».
Популярна ціль
Телекомунікаційні компанії вже давно є популярною мішенню для зловмисників, особливо державних - через можливості, які вони надають шпигувати за людьми і проведення широкого кібершпигунства. Записи даних про дзвінки, ідентифікаційні дані мобільного абонента та метадані з мереж оператора можуть дати зловмисникам можливість дуже ефективно відстежувати окремих осіб і групи інтересів. Багато груп, які здійснюють ці атаки, базуються в таких країнах, як Китай, Іран і Туреччина.
Зовсім недавно використання телефонів для двофакторної автентифікації дало можливість зловмисникам зламати онлайн-акаунти інша причина переслідувати телекомунікаційні компанії. Деякі з цих атак включали злом мереж операторів для проведення масової заміни SIM-карти — перенесення номера телефону іншої особи на пристрій, яким керує зловмисник.
Основне зловмисне програмне забезпечення Sandman, LuaDream, містить 34 окремі компоненти та підтримує кілька протоколів командування та контролю (C2), що вказує на операцію значного масштабу, Міленкоскі зазначив.
Цікавий вибір
Тринадцять компонентів підтримують основні функції, такі як ініціалізація зловмисного програмного забезпечення, зв’язок C2, керування плагінами та вилучення інформації користувача та системи. Решта компонентів виконують такі функції підтримки, як впровадження бібліотек Lua та Windows API для операцій LuaDream.
Одним із важливих аспектів шкідливого програмного забезпечення є використання LuaJIT, зазначив Міленкоскі. LuaJIT зазвичай використовується розробниками в контексті ігрових додатків та інших спеціальних програм і випадків використання. «Високомодульне шкідливе програмне забезпечення, що використовує Lua, є відносно рідкісним явищем Проект Саурон Платформа кібершпигунства є одним із рідкісних прикладів», – сказав він. Він також зазначив, що його використання у зловмисному програмному забезпеченні APT натякає на можливість залучення стороннього постачальника безпеки до кампанії.
Аналіз SentinelOne показав, що коли загроза отримує доступ до цільової мережі, основна увага приділяється тому, щоб сховатися та бути якомога непомітнішим. Група спочатку викрадає облікові дані адміністратора та тихо проводить розвідку скомпрометованої мережі, намагаючись зламати цільові робочі станції, особливо ті, які призначені особам на керівних посадах. Дослідники SentinelOne помітили, що суб’єкт загрози зберігав у середньому п’ятиденний проміжок між зломами кінцевих точок, щоб мінімізувати виявлення. За словами Міленкоскі, на наступному етапі актори Sandman зазвичай розгортають папки та файли для завантаження та виконання LuaDream.
Функції LuaDream свідчать про те, що це варіант іншої шкідливої програми під назвою DreamLand, яку дослідники з Kaspersky спостерігали на початку цього року за використання в кампанії, націленій на урядову установу Пакистану. Як і LuaDream, зловмисне програмне забезпечення, яке виявив Касперський, також було високомодульним, оскільки використовувало Lua в поєднанні з JIT-компілятором для виконання коду, який важко виявити, сказав Міленкоскі. У той час Касперський описав зловмисне програмне забезпечення як перший випадок, коли актор APT використовує Lua після Project Sauron та іншої старішої кампанії під назвою Тваринний ферма.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/attacks-breaches/mysterious-sandman-apt-targets-telecom-sector-with-novel-backdoor
- : має
- :є
- 7
- a
- доступ
- Рахунки
- через
- актори
- додавати
- адміністративний
- просунутий
- після
- проти
- агентство
- вже
- Також
- an
- аналіз
- та
- Інший
- Інтерфейси
- застосування
- APT
- ЕСТЬ
- масив
- AS
- Азія
- зовнішній вигляд
- призначений
- At
- нападки
- Серпня
- Authentication
- доступний
- середній
- закулісний
- заснований
- було
- буття
- між
- Великий
- Перерва
- Розрив
- широкий
- Кампанія
- CAN
- можливості
- випадків
- Китай
- код
- зв'язку
- Компанії
- компанія
- Компоненти
- Компрометація
- Проводити
- Проведення
- проводить
- конференція
- зв'язок
- значний
- містить
- контекст
- Core
- країни
- Повноваження
- цікавий
- кібер-
- дані
- точки даних
- розгортання
- описаний
- Виявлення
- розробників
- пристрій
- відкритий
- чіткий
- Різне
- охрестили
- Раніше
- Схід
- фактично
- дозволяє
- Кінцева точка
- особливо
- шпигунство
- Європа
- Приклади
- виконувати
- виконання
- ексфільтрація
- продовжити
- риси
- Файли
- Перший
- Сфокусувати
- для
- від
- Функції
- майбутнє
- прибуток
- азартні ігри
- розрив
- географічні
- Давати
- даний
- Go
- Уряд
- Group
- Групи
- Мати
- he
- висока продуктивність
- дуже
- підказки
- HTTPS
- Особистість
- реалізації
- in
- осіб
- інформація
- спочатку
- екземпляр
- інтерес
- в
- залучений
- Іран
- IT
- ЙОГО
- JIT-
- JPG
- Kaspersky
- мова
- libraries
- як
- список
- погрузка
- Довго
- шукати
- низький
- головний
- Підтримка
- шкідливих програм
- управління
- управлінський
- управління
- манера
- багато
- Маса
- метадані
- Середній
- середній Схід
- Mobile
- модульний
- більше
- множинний
- таємничий
- Необхідність
- мережу
- мереж
- Нові
- наступний
- немає
- зазначив,
- Примітно,
- роман
- номер
- of
- старший
- on
- один раз
- ONE
- ті,
- онлайн
- операція
- операції
- Можливості
- походження
- Інше
- Папір
- Виконувати
- людина
- телефон
- телефони
- платформа
- plato
- Інформація про дані Платона
- PlatoData
- підключати
- plugins
- точок
- популярний
- позиції
- можливість
- це можливо
- представлений
- Програмування
- проект
- захист
- протоколи
- забезпечувати
- провайдери
- тихо
- РІДНІ
- нещодавно
- облік
- райони
- щодо
- надійний
- решті
- дослідник
- Дослідники
- s
- Зазначений
- шкала
- сектор
- безпеку
- пошук
- сенс
- показав
- зір
- з
- деякі
- що в сім'ї щось
- складний
- Південь
- Спеціальність
- конкретно
- крадеться
- Крок
- сильний
- абонент
- такі
- пропонувати
- підтримка
- Опори
- система
- Мета
- цільове
- націлювання
- цілі
- телеком
- телекомунікації
- зв'язок
- Що
- Команда
- їх
- Там.
- Ці
- вони
- третя сторона
- це
- На цьому тижні
- У цьому році
- ті
- загроза
- актори загроз
- час
- до
- інструмент
- трек
- Відстеження
- Туреччина
- типово
- невідомий
- використання
- використовуваний
- користувач
- використання
- варіант
- продавець
- дуже
- було
- шлях..
- week
- Western
- Західна Європа
- windows
- з
- рік
- зефірнет