Неизвестна досега заплаха, наречена „Sandman“, се насочва към доставчици на телекомуникационни услуги в Близкия изток, Западна Европа и Южна Азия, като използва модулен зловреден софтуер за кражба на информация, наречен „LuaDream“.
Тази злонамерена дейност е открита от SentinelLabs в сътрудничество с QGroup GmbH през август 2023 г., които наричат автора на злонамерения софтуер и извършител по вътрешното име на задната врата „DreamLand client“.
Оперативният стил на Sandman е да поддържа нисък профил, за да избегне откриване, като същевременно извършва странично движение и поддържа дългосрочен достъп до пробитите системи, за да увеличи максимално своите операции по кибершпионаж.
Акторът на заплахата Sandman се насочва към доставчици на телекомуникационни услуги в субконтинентите Близък изток, Западна Европа и Южна Азия.
Според SentinelOne заплахата първо получава достъп до корпоративна мрежа, като използва откраднати административни пълномощия.
След като мрежата е пробита, Sandman е забелязан да използва атаки от типа „pass-the-hash“ за удостоверяване на автентичността на отдалечени сървъри и услуги чрез извличане и повторно използване на NTLM хешове, съхранявани в паметта.
В доклада на SentinelLabs се обяснява, че в един от случаите всички работни станции, към които са се насочили хакерите, са били назначени на ръководен пост, което показва, че нападателят се интересува от привилегирована или поверителна информация.
SandMan използва нов модулен зловреден софтуер, наречен „LuaDream“, при атаки, при които се използва отвличане на DLL в целевите системи. Името на зловредния софтуер идва от използването на компилатора LuaJIT just-in-time за езика за скриптове Lua.
Зловредният софтуер се използва за събиране на данни и управление на плъгини, които разширяват функционалността му, които се получават от сървъра за командване и контрол (C2) и се изпълняват локално в компрометираната система.
Разработката на зловредния софтуер изглежда активна, като извлеченият низ на версията посочва номер на изданието „12.0.2.5.23.29“, а анализаторите са видели признаци на логове и тестови функции, които датират още от юни 2022 г.
Постановката на LuaDream разчита на сложен седемстепенен процес в паметта, целящ да избегне откриването, иницииран от услугата Windows Fax или Spooler, която изпълнява злонамерения DLL файл.
От SentinelLabs съобщават, че времевите маркери в DLL файловете, използвани за отвличане на поръчки, са много близки до атаките, което може да означава, че те са били създадени по поръчка за конкретни прониквания.
Мерките за борба с анализа в процеса на постановка включват:
LuaDream се състои от 34 компонента, от които 13 основни и 21 поддържащи, които използват байткода LuaJIT и API на Windows чрез библиотеката ffi.
Основните компоненти се справят с основните функции на зловредния софтуер, като събиране на системни и потребителски данни, контрол на приставките и C2 комуникации, докато компонентите за поддръжка се занимават с техническите аспекти, като предоставяне на библиотеки на Lua и дефиниции на Windows API.
При инициализиране LuaDream се свързва със сървър C2 (чрез TCP, HTTPS, WebSocket или QUIC) и изпраща събраната информация, включително версии на зловредния софтуер, IP/MAC адреси, данни за операционната система и др.
Поради това, че нападателите разполагат с конкретни приставки чрез LuaDream при всяка атака, SentinelLabs не разполага с изчерпателен списък на всички налични приставки.
В доклада обаче се отбелязва един модул, наречен „cmd“, чието име подсказва, че дава на нападателите възможности за изпълнение на команди на компрометираното устройство.
Макар че някои от потребителските зловредни програми на Sandman и част от инфраструктурата на неговия C2 сървър са разкрити, произходът на изпълнителя на заплахата остава без отговор.
Sandman се присъединява към нарастващия списък на напреднали нападатели, които се насочват към телекомуникационни компании с цел шпионаж, използвайки уникални скрити задни врати, които са трудни за откриване и спиране.
Доставчиците на телекомуникационни услуги са честа мишена за шпионски дейности поради чувствителния характер на данните, които управляват.
По-рано тази седмица съобщихме за ново струпване на дейности, проследено като „ShroudedSnooper“, което използва две нови задни врати – HTTPSnoop и PipeSnoop – срещу телекомуникационни оператори в Близкия изток.
Инфографики и базова информация:SentinelLabs
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.