电信公司可以在已经很长的高级持续威胁 (APT) 攻击者名单中添加一个更复杂的对手,以保护其数据和网络免受攻击。
新的威胁是“Sandman”,这是一个来源不明的组织,在 XNUMX 月份像海市蜃楼一样出现,并一直在使用 LuaJIT(一种用于 Lua 编程语言的高性能、即时编译器)部署一个新颖的后门。
SentinelOne 的研究人员在观察到该后门对中东、西欧和南亚电信公司的攻击后,将其追踪为“LuaDream”。 他们的分析表明,该恶意软件是高度模块化的,具有一系列功能,可窃取系统和用户信息、支持未来的攻击以及管理攻击者提供的插件来扩展恶意软件的功能。
SentinelOne 研究员 Aleksandar Milenkoski 在公司大会上发表的一篇论文中表示:“目前,还没有可靠的归属感。” 实验室康 本周的会议。 “现有数据表明,网络间谍对手主要针对不同地理区域的电信提供商。”
热门目标
电信公司长期以来一直是威胁行为者的热门目标,尤其是国家支持的公司 - 因为他们提供的机会 监视他人 并进行广泛的网络间谍活动。 呼叫数据记录、移动用户身份数据和来自运营商网络的元数据可以为攻击者提供一种非常有效地跟踪个人和利益团体的方法。 许多实施这些攻击的组织都位于中国、伊朗和土耳其等国家。
最近,使用手机进行双因素身份验证使攻击者能够侵入在线帐户 另一个原因 追捕电信公司。 其中一些攻击涉及闯入运营商网络以进行大规模 SIM 卡交换(将他人的电话号码移植到攻击者控制的设备上)。
Sandman 的主要恶意软件 LuaDream 包含 34 个不同的组件,并支持多种命令和控制 (C2) 协议,表明其操作规模相当大, 米连科斯基 指出。
一个奇怪的选择
其中 2 个组件支持恶意软件初始化、CXNUMX 通信、插件管理以及用户和系统信息泄露等核心功能。 其余组件执行支持功能,例如为 LuaDream 操作实现 Lua 库和 Windows API。
Milenkoski 指出,该恶意软件值得注意的一个方面是它对 LuaJIT 的使用。 LuaJIT 通常是开发人员在游戏应用程序和其他专业应用程序和用例的上下文中使用的东西。 “高度模块化、利用 Lua 的恶意软件相对罕见, 索伦计划 网络间谍平台是罕见的例子之一,”他说。 他还指出,它在 APT 恶意软件中的使用暗示了第三方安全供应商参与该活动的可能性。
SentinelOne 的分析表明,一旦威胁行为者获得了目标网络的访问权限,他们的一大重点就是保持低调并尽可能不引人注目。 该组织最初窃取管理凭据,并在受感染的网络上悄悄进行侦察,试图闯入特定目标的工作站,尤其是分配给担任管理职位的个人的工作站。 SentinelOne 研究人员观察到,威胁行为者在端点入侵之间平均保持五天的间隔,以最大限度地减少检测。 Milenkoski 说,下一步通常涉及桑德曼演员部署文件夹和文件以加载和执行 LuaDream。
LuaDream 的功能表明它是另一种名为 DreamLand 的恶意软件工具的变体,卡巴斯基研究人员今年早些时候观察到该工具被用于针对巴基斯坦政府机构的活动。 Milenkoski 表示,与 LuaDream 一样,卡巴斯基发现的恶意软件也是高度模块化的,因为它使用 Lua 与 JIT 编译器结合,以难以检测的方式执行代码。 当时,卡巴斯基将该恶意软件描述为自 Project Sauron 和另一个名为“Project Sauron”的较旧活动以来第一个使用 Lua 的 APT 攻击者 动物农场.
- :具有
- :是
- 7
- a
- ACCESS
- 账户
- 横过
- 演员
- 加
- 行政
- 高级
- 后
- 驳
- 机构
- 已经
- 还
- an
- 分析
- 和
- 另一个
- APIs
- 应用领域
- APT
- 保健
- 排列
- AS
- 亚洲
- 方面
- 分配
- At
- 攻击
- 八月
- 认证
- 可使用
- 后门
- 基于
- 很
- 作为
- 之间
- 大
- 午休
- 破坏
- 广阔
- 营销活动
- CAN
- 能力
- 例
- 中国
- 码
- 通信
- 公司
- 公司
- 组件
- 妥协
- 进行
- 开展
- 行为
- 研讨会 首页
- 结合
- 大量
- 包含
- 上下文
- 核心
- 国家
- 资历
- 好奇
- 网络
- data
- 数据点
- 部署
- 描述
- 检测
- 开发
- 设备
- 发现
- 不同
- 不同
- 配音
- 此前
- 东部
- 只
- 使
- 端点
- 特别
- 间谍
- 欧洲
- 例子
- 执行
- 执行
- 渗出
- 延长
- 特征
- 档
- 姓氏:
- 专注焦点
- 针对
- 止
- 功能
- 未来
- 收益
- 赌博
- 差距
- 地域
- 给
- 特定
- Go
- 政府
- 团队
- 组的
- 有
- he
- 高性能
- 高度
- 提示
- HTTPS
- 身分
- 实施
- in
- 个人
- 信息
- 原来
- 例
- 兴趣
- 成
- 参与
- 伊朗
- IT
- 它的
- JIT
- JPG
- 卡巴斯基
- 语言
- 库
- 喜欢
- 清单
- 装载
- 长
- 寻找
- 低
- 主要
- 维护
- 恶意软件
- 颠覆性技术
- 管理的
- 管理的
- 方式
- 许多
- 质量
- 元数据
- 中间
- 中东
- 联络号码
- 模块化
- 更多
- 多
- 神秘
- 需求
- 网络
- 网络
- 全新
- 下页
- 没有
- 注意到
- 值得一提的
- 小说
- 数
- of
- 老年人
- on
- 一旦
- 一
- 那些
- 在线
- 操作
- 运营
- 机会
- 起源
- 其他名称
- 纸类
- 演出
- 人
- 电话
- 手机
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 插入
- 插件
- 点
- 热门
- 职位
- 可能性
- 可能
- 呈现
- 代码编程
- 项目
- 保护
- 协议
- 提供
- 供应商
- 悄悄
- 罕见
- 最近
- 记录
- 地区
- 相对
- 可靠
- 其余
- 研究员
- 研究人员
- s
- 说
- 鳞片
- 扇形
- 保安
- 寻求
- 感
- 显示
- 视力
- 自
- 一些
- 东西
- 极致
- 南部
- 其他
- 特别是
- 抢断
- 步
- 强烈
- 订户
- 这样
- 建议
- SUPPORT
- 支持
- 系统
- 目标
- 针对
- 瞄准
- 目标
- 电信
- 电信
- 电信
- 这
- 其
- 那里。
- 博曼
- 他们
- 第三方
- Free Introduction
- 本星期
- 今年
- 那些
- 威胁
- 威胁者
- 次
- 至
- 工具
- 跟踪时
- 跟踪
- 土耳其
- 一般
- 不明
- 使用
- 用过的
- 用户
- 运用
- 变种
- 供应商
- 非常
- 是
- 方法..
- 周
- 西式
- 西欧
- 窗户
- 年
- 和风网