保贝狗是一款个人信息保护产品。
电信公司可以在已经很长的高级持续威胁 (APT) 攻击者名单中添加一个更复杂的对手,以保护其数据和网络免受攻击。
新的威胁是“Sandman”,这是一个来源不明的组织,在 8 月份如海市蜃楼般出现,并一直在使用 LuaJIT(一种用于 Lua 编程语言的高性能即时编译器)部署一个新颖的后门。
SentinelOne 的研究人员在观察到该后门对中东、西欧和南亚电信公司的攻击后,将其追踪为“LuaDream”。他们的分析表明,该恶意软件是高度模块化的,具有一系列功能,可窃取系统和用户信息、支持未来的攻击以及管理攻击者提供的插件,以扩展恶意软件的功能。
SentinelOne 研究员 Aleksandar Milenkoski在本周该公司的LABScon会议上发表的一篇论文中表示:“目前,还没有可靠的归属感。” “现有数据表明,网络间谍对手主要针对不同地理区域的电信提供商。”
热门目标
电信公司长期以来一直是威胁行为者(尤其是国家支持的威胁行为者)的热门目标,因为它们为监视人员和进行广泛的网络间谍活动提供了机会。呼叫数据记录、移动用户身份数据和来自运营商网络的元数据可以为攻击者提供一种非常有效地跟踪个人和利益团体的方法。许多实施这些攻击的组织都位于中国、伊朗和土耳其等国家。
最近,使用手机进行双因素身份验证为试图闯入在线帐户的攻击者提供了另一个攻击电信公司的理由。其中一些攻击涉及闯入运营商网络以进行大规模 SIM 卡交换(将他人的电话号码移植到攻击者控制的设备上)。
Milenkoski指出,Sandman 的主要恶意软件 LuaDream 包含 34 个不同的组件,并支持多种命令和控制 (C2) 协议,这表明其操作规模相当大。
一个奇怪的选择
其中 13 个组件支持恶意软件初始化、C2 通信、插件管理以及用户和系统信息泄露等核心功能。其余组件执行支持功能,例如为 LuaDream 操作实现 Lua 库和 Windows API。
Milenkoski 指出,该恶意软件值得注意的一个方面是它对 LuaJIT 的使用。LuaJIT 通常是开发人员在游戏应用程序和其他专业应用程序和用例的上下文中使用的东西。“高度模块化、利用 Lua 的恶意软件相对罕见,Project Sauron网络间谍平台就是罕见的例子之一,”他说。他还指出,它在 APT 恶意软件中的使用暗示了第三方安全供应商参与该活动的可能性。
SentinelOne 的分析表明,一旦威胁行为者获得了目标网络的访问权限,他们的一大重点就是保持低调并尽可能不引人注目。该组织最初窃取管理凭证,并悄悄地对受感染的网络进行侦察,试图闯入特定目标的工作站——尤其是那些分配给管理职位的个人的工作站。SentinelOne 研究人员观察到,威胁行为者在端点入侵之间平均保持五天的间隔,以最大限度地减少检测。Milenkoski 说,下一步通常涉及桑德曼演员部署文件夹和文件以加载和执行 LuaDream。
LuaDream 的功能表明它是另一种名为 DreamLand 的恶意软件工具的变体,卡巴斯基研究人员今年早些时候观察到该工具被用于针对巴基斯坦政府机构的活动。Milenkoski 表示,与 LuaDream 一样,卡巴斯基发现的恶意软件也是高度模块化的,因为它使用 Lua 与 JIT 编译器结合,以难以检测的方式执行代码。当时,卡巴斯基将该恶意软件描述为自 Project Sauron 和另一个名为Animal Farm的较早活动以来使用 Lua 的 APT 攻击者的第一个实例。
