Неизвестна досега заплаха, наречена „Sandman“, се насочва към доставчици на телекомуникационни услуги в Близкия изток, Западна Европа и Южна Азия, като използва модулен зловреден софтуер за кражба на информация, наречен „LuaDream“.

Тази злонамерена дейност е открита от SentinelLabs в сътрудничество с QGroup GmbH през август 2023 г., които наричат автора на злонамерения софтуер и извършител по вътрешното име на задната врата „DreamLand client“.

Оперативният стил на Sandman е да поддържа нисък профил, за да избегне откриване, като същевременно извършва странично движение и поддържа дългосрочен достъп до пробитите системи, за да увеличи максимално своите операции по кибершпионаж.

Популярни цели

Акторът на заплахата Sandman се насочва към доставчици на телекомуникационни услуги в субконтинентите Близък изток, Западна Европа и Южна Азия.

Според SentinelOne заплахата първо получава достъп до корпоративна мрежа, като използва откраднати административни пълномощия.

След като мрежата е пробита, Sandman е забелязан да използва атаки от типа „pass-the-hash“ за удостоверяване на автентичността на отдалечени сървъри и услуги чрез извличане и повторно използване на NTLM хешове, съхранявани в паметта.

В доклада на SentinelLabs се обяснява, че в един от случаите всички работни станции, към които са се насочили хакерите, са били назначени на ръководен пост, което показва, че нападателят се интересува от привилегирована или поверителна информация.

Зловреден софтуер LuaDream

SandMan използва нов модулен зловреден софтуер, наречен „LuaDream“, при атаки, при които се използва отвличане на DLL в целевите системи. Името на зловредния софтуер идва от използването на компилатора LuaJIT just-in-time за езика за скриптове Lua.

Зловредният софтуер се използва за събиране на данни и управление на плъгини, които разширяват функционалността му, които се получават от сървъра за командване и контрол (C2) и се изпълняват локално в компрометираната система.

Разработката на зловредния софтуер изглежда активна, като извлеченият низ на версията посочва номер на изданието „12.0.2.5.23.29“, а анализаторите са видели признаци на логове и тестови функции, които датират още от юни 2022 г.

Постановката на LuaDream разчита на сложен седемстепенен процес в паметта, целящ да избегне откриването, иницииран от услугата Windows Fax или Spooler, която изпълнява злонамерения DLL файл.

От SentinelLabs съобщават, че времевите маркери в DLL файловете, използвани за отвличане на поръчки, са много близки до атаките, което може да означава, че те са били създадени по поръчка за конкретни прониквания.

Мерките за борба с анализа в процеса на постановка включват:

  • Скриване на нишките на LuaDream от дебъгъри.
  • Затваряне на файлове с невалиден край.
  • Откриване на базирани на Wine sandbox среди.
  • Съпоставяне в паметта за избягване на кукичките на EDR API и детекциите на базата на файлове.
  • Опаковане на кода за съхранение с XOR-базирано криптиране и компресия.

LuaDream се състои от 34 компонента, от които 13 основни и 21 поддържащи, които използват байткода LuaJIT и API на Windows чрез библиотеката ffi.

Основните компоненти се справят с основните функции на зловредния софтуер, като събиране на системни и потребителски данни, контрол на приставките и C2 комуникации, докато компонентите за поддръжка се занимават с техническите аспекти, като предоставяне на библиотеки на Lua и дефиниции на Windows API.

При инициализиране LuaDream се свързва със сървър C2 (чрез TCP, HTTPS, WebSocket или QUIC) и изпраща събраната информация, включително версии на зловредния софтуер, IP/MAC адреси, данни за операционната система и др.

Поради това, че нападателите разполагат с конкретни приставки чрез LuaDream при всяка атака, SentinelLabs не разполага с изчерпателен списък на всички налични приставки.

В доклада обаче се отбелязва един модул, наречен „cmd“, чието име подсказва, че дава на нападателите възможности за изпълнение на команди на компрометираното устройство.

Макар че някои от потребителските зловредни програми на Sandman и част от инфраструктурата на неговия C2 сървър са разкрити, произходът на изпълнителя на заплахата остава без отговор.

Sandman се присъединява към нарастващия списък на напреднали нападатели, които се насочват към телекомуникационни компании с цел шпионаж, използвайки уникални скрити задни врати, които са трудни за откриване и спиране.

Доставчиците на телекомуникационни услуги са честа мишена за шпионски дейности поради чувствителния характер на данните, които управляват.

По-рано тази седмица съобщихме за ново струпване на дейности, проследено като „ShroudedSnooper“, което използва две нови задни врати – HTTPSnoop и PipeSnoop – срещу телекомуникационни оператори в Близкия изток.

Инфографики и базова информация:SentinelLabs

 

Източник: По материали от Интернет

Подобни публикации

7 февруари 2025

7 стъпки към подобряване на киберустойчивостта ...

В днешно време повечето аспекти на бизнеса са цифровизирани и е от ...
7 февруари 2025

Hападателите използват открити ключове на ASP.N...

Microsoft предупреждава, че нападателите внедряват зловреден софтуе...
7 февруари 2025

Законодателите от Камарата забраняват приложени...

Двупартийно дуо в Камарата на представителите на САЩ предлага закон...
7 февруари 2025

Zimperium откри 1 000 приложения, използвани в ...

Фирмата за мобилна сигурност Zimperium е разкрила широка злонамерен...
7 февруари 2025

Astra и Invary набираха милиони за AI-Pentesti...

Тази седмица стартиращите компании за киберсигурност Astra Security...
7 февруари 2025

Хакер, атакувал НАТО и армията на САЩ, е аресту...

Испанските власти обявиха, че е арестувано лице, заподозряно като х...
Бъдете социални
Още по темата
13/01/2025

Infostealer се маскира като...

3аплахите разпространяват зловреден софтуер за кражба...
03/12/2024

Прототипът на UEFI Bootkit ...

Откриването на прототип на UEFI bootkit,...
18/11/2024

Фалшиви реклами на Bitwarde...

Фалшиви реклами на мениджъра на пароли...
Последно добавени
07/02/2025

7 стъпки към подобряване на...

В днешно време повечето аспекти на...
07/02/2025

Hападателите използват откр...

Microsoft предупреждава, че нападателите внедряват зловреден...
07/02/2025

Законодателите от Камарата ...

Двупартийно дуо в Камарата на представителите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!