Istraživači u SentinelOne-u su primijetili potencijalnu sajber-špijunažnu grupu, čije porijeklo je nejasno (za sada), i koristili su modularne backdoor i tajne tehnike za ciljanje telekomunikacionih firmi na Bliskom istoku, zapadnoj Evropi i južnoj Aziji.
Ova grupa, nazvana Sandman APT, koristi novi backdoor pod imenom LuaJIT, koji je just-in-time kompajler za programski jezik Lua, što otežava prepoznavanje zlonamjernih Lua skripti.
Zaronimo u detalje
Sandman uglavnom cilja na telekomunikacione operatere na Bliskom istoku, zapadnoj Evropi i južnoj Aziji.
- APT grupa je predstavila jedinstveni modularni backdoor, nazvan LuaDream, koji koristi LuaJIT platformu.
- LuaDream uvodi malicioznu datoteku ualapi.dll na kompromitovane sisteme putem Fax i Windows Spooler usluga.
- Umjesto trenutnog izvršenja, koje bi moglo dovesti do otkrivanja, čeka se ponovno pokretanje sistema od strane korisnika.
- Provedena u avgustu, Sandman kampanja je iskoristila DLL hijacking kako bi prikrila ovaj maliciozni fajl kao legitiman sa identičnim imenom.
- Osim toga, hakeri su iskoristili metodu “prebacivanja heša” preko NTLM protokola za autentifikaciju kako bi ciljali određene uređaje na istoj mreži.
Zašto je ovo važno
- Istraživači su posmatrali aktivnosti koje karakteriše strateško bočno kretanje do određenih radnih stanica i minimalna interakcija. Ovo sugeriše preciznu strategiju usmjerenu na postizanje željenih rezultata uz ograničavanje šansi za otkrivanje.
- Dizajn i implementacija LuaDream-a ukazuju na to da je to tekući projekt s kontrolom verzija.
- Ovaj modularni backdoor sa više protokola može prikupiti sistemske i korisničke detalje, pripremati se za naknadne ciljane napade i upravljati dodacima koje su uveli napadači kako bi pojačali njegove karakteristike.
Bliski istok trpi još jednu kampanju sajber špijunaže
Otkriven je novi backdoor malware pod nazivom Deadglyph koji cilja vladinu agenciju na Bliskom istoku.
- Vjeruje se da ga koristi hakerska grupa Stealth Falcon, poznata po napadima na aktiviste i novinare.
- Malware, koji je modularne prirode, može se pohvaliti mehanizmima protiv izbjegavanja i mehanizmom samouklanjanja ako komunikacija sa C2 serverom ne uspije.
Zaključak
LuaDream služi kao moćan dokaz nemilosrdne volje i domišljatosti hakera sajber špijunaže u stalnom ažuriranju i usavršavanju svog malware alata. Da bi ublažile uticaj takvih kampanja, organizacije treba da razmotre redovno ažuriranje sistema, usvajanje naprednih rešenja za otkrivanje pretnji i obezbjeđivanje obuke za sajber bezbednost za zaposlene, posebno o prepoznavanju i reagovanju na potencijalne pretnje.
Uz to, s obzirom na to da je Bliski istok ponovo pod lupom sajber špijunaže, kao što je vidljivo iz nedavnog otkrića malware-a Deadglyph, budnost i proaktivni odbrambeni mehanizmi su kritičniji nego ikad.
Izvor: Cyware Alerts – Hacker News