Търсене
Close this search box.

„Sandman“ пробива телекоми с новия LuaDream

Неизвестна досега заплаха, наречена „Sandman“, се насочва към доставчици на телекомуникационни услуги в Близкия изток, Западна Европа и Южна Азия, като използва модулен зловреден софтуер за кражба на информация, наречен „LuaDream“.

Тази злонамерена дейност е открита от SentinelLabs в сътрудничество с QGroup GmbH през август 2023 г., които наричат автора на злонамерения софтуер и извършител по вътрешното име на задната врата „DreamLand client“.

Оперативният стил на Sandman е да поддържа нисък профил, за да избегне откриване, като същевременно извършва странично движение и поддържа дългосрочен достъп до пробитите системи, за да увеличи максимално своите операции по кибершпионаж.

Популярни цели

Акторът на заплахата Sandman се насочва към доставчици на телекомуникационни услуги в субконтинентите Близък изток, Западна Европа и Южна Азия.

Според SentinelOne заплахата първо получава достъп до корпоративна мрежа, като използва откраднати административни пълномощия.

След като мрежата е пробита, Sandman е забелязан да използва атаки от типа „pass-the-hash“ за удостоверяване на автентичността на отдалечени сървъри и услуги чрез извличане и повторно използване на NTLM хешове, съхранявани в паметта.

В доклада на SentinelLabs се обяснява, че в един от случаите всички работни станции, към които са се насочили хакерите, са били назначени на ръководен пост, което показва, че нападателят се интересува от привилегирована или поверителна информация.

Зловреден софтуер LuaDream

SandMan използва нов модулен зловреден софтуер, наречен „LuaDream“, при атаки, при които се използва отвличане на DLL в целевите системи. Името на зловредния софтуер идва от използването на компилатора LuaJIT just-in-time за езика за скриптове Lua.

Зловредният софтуер се използва за събиране на данни и управление на плъгини, които разширяват функционалността му, които се получават от сървъра за командване и контрол (C2) и се изпълняват локално в компрометираната система.

Разработката на зловредния софтуер изглежда активна, като извлеченият низ на версията посочва номер на изданието „12.0.2.5.23.29“, а анализаторите са видели признаци на логове и тестови функции, които датират още от юни 2022 г.

Постановката на LuaDream разчита на сложен седемстепенен процес в паметта, целящ да избегне откриването, иницииран от услугата Windows Fax или Spooler, която изпълнява злонамерения DLL файл.

От SentinelLabs съобщават, че времевите маркери в DLL файловете, използвани за отвличане на поръчки, са много близки до атаките, което може да означава, че те са били създадени по поръчка за конкретни прониквания.

Мерките за борба с анализа в процеса на постановка включват:

  • Скриване на нишките на LuaDream от дебъгъри.
  • Затваряне на файлове с невалиден край.
  • Откриване на базирани на Wine sandbox среди.
  • Съпоставяне в паметта за избягване на кукичките на EDR API и детекциите на базата на файлове.
  • Опаковане на кода за съхранение с XOR-базирано криптиране и компресия.

LuaDream се състои от 34 компонента, от които 13 основни и 21 поддържащи, които използват байткода LuaJIT и API на Windows чрез библиотеката ffi.

Основните компоненти се справят с основните функции на зловредния софтуер, като събиране на системни и потребителски данни, контрол на приставките и C2 комуникации, докато компонентите за поддръжка се занимават с техническите аспекти, като предоставяне на библиотеки на Lua и дефиниции на Windows API.

При инициализиране LuaDream се свързва със сървър C2 (чрез TCP, HTTPS, WebSocket или QUIC) и изпраща събраната информация, включително версии на зловредния софтуер, IP/MAC адреси, данни за операционната система и др.

Поради това, че нападателите разполагат с конкретни приставки чрез LuaDream при всяка атака, SentinelLabs не разполага с изчерпателен списък на всички налични приставки.

В доклада обаче се отбелязва един модул, наречен „cmd“, чието име подсказва, че дава на нападателите възможности за изпълнение на команди на компрометираното устройство.

Макар че някои от потребителските зловредни програми на Sandman и част от инфраструктурата на неговия C2 сървър са разкрити, произходът на изпълнителя на заплахата остава без отговор.

Sandman се присъединява към нарастващия списък на напреднали нападатели, които се насочват към телекомуникационни компании с цел шпионаж, използвайки уникални скрити задни врати, които са трудни за откриване и спиране.

Доставчиците на телекомуникационни услуги са честа мишена за шпионски дейности поради чувствителния характер на данните, които управляват.

По-рано тази седмица съобщихме за ново струпване на дейности, проследено като „ShroudedSnooper“, което използва две нови задни врати – HTTPSnoop и PipeSnoop – срещу телекомуникационни оператори в Близкия изток.

Инфографики и базова информация:SentinelLabs

 

Източник: По материали от Интернет

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
Бъдете социални
Още по темата
22/03/2024

Над 800 npm пакети с несъот...

Ново изследване откри над 800 пакета...
16/03/2024

Зловредният софтуер Ande Lo...

Заплахата, известна като Blind Eagle, е...
28/02/2024

Новата версия на IDAT loade...

Хакерска група, проследена като „UAC-0184“, е...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!