正文

来源未知的新APT组织Sandman攻击中东、西欧、南亚地区电信运营商

admin
admin V管理员 /0 评论 /281 阅读
0922
此篇文章发布距今已超过429天,您需要注意文章的内容或图片是否可用!


导 



一个被称为“Sandman”未知其来源的新APT组织使用名为“LuaDream”的模块化信息窃取恶意软件,以中东、西欧和南亚的电信服务提供商为目标。

这种恶意活动是由 SentinelLabs 与 QGroup GmbH 于 2023 年 8 月合作发现的,QGroup GmbH 以后门的内部名称“DreamLand 客户端”命名该恶意软件。


“Sandman”的行动风格是保持低调以逃避检测,同时进行横向移动并保持对被破坏系统的长期访问,以最大限度地扩大其网络间谍活动。


热门目标


Sandman APT组织的目标是中东、西欧和南亚次大陆的电信服务提供商。SentinelOne 表示,攻击者首先使用窃取的管理凭据访问公司网络。


一旦网络遭到破坏,Sandman 就会使用“哈希传递”攻击,通过提取和重用存储在内存中的 NTLM 哈希来对远程服务器和服务进行身份验证。


SentinelLabs的报告解释说,在一种情况下,黑客针对的所有工作站都被分配给管理人员,这表明攻击者对特权或机密信息感兴趣。

Sandman 目标的地理分布,来源:SentinelLabs


LuaDream 恶意软件

人们发现 SandMan 在使用 DLL 劫持对目标系统进行攻击时部署了一种名为“LuaDream”的新型模块化恶意软件。该恶意软件因使用 Lua 脚本语言的 LuaJIT 即时编译器而得名。


该恶意软件用于收集数据并管理扩展其功能的插件,这些插件从命令和控制服务器(C2)接收并在受感染的系统上本地执行。


该恶意软件的开发似乎很活跃,检索到的版本字符串表明版本号为“12.0.2.5.23.29”,分析人员已经看到了最早可以追溯到 2022 年 6 月的日志和测试功能的迹象。


LuaDream 的暂存依赖于一个复杂的七步内存进程,旨在逃避由运行恶意 DLL 文件的 Windows Fax 或 Spooler 服务启动的检测。

Sandman攻击过程,来源:SentinelLabs


SentinelLabs 报告称,用于劫持攻击的 DLL 文件的时间戳与攻击非常接近,这可能表明它们是针对特定入侵目标自定义创建的。

分阶段过程中的反分析措施包括:

  • 从调试器中隐藏 LuaDream 的线程。

  • 关闭具有无效句柄的文件。

  • 检测基于 Wine 的沙箱环境。

  • 内存中映射可躲避 EDR API     挂钩和基于文件的检测。

  • 使用基于 XOR     的加密和压缩来打包暂存代码。


LuaDream由34个组件组成,其中13个核心组件和21个支持组件,它们通过ffi库利用LuaJIT字节码和Windows API。


核心组件处理恶意软件的主要功能,例如系统和用户数据收集、插件控制和 C2 通信,而支持组件则处理技术方面,例如提供 Lua 库和 Windows API 定义。

该恶意软件的主要组件 (SentinelLabs)


初始化后,LuaDream 连接到 C2 服务器(通过 TCP、HTTPS、WebSocket 或 QUIC)并发送收集到的信息,包括恶意软件版本、IP/MAC 地址、操作系统详细信息等。


由于攻击者在每次攻击中都通过 LuaDream 部署特定插件,SentinelLabs 没有所有可用插件的详尽列表。


报告指出了一个名为“cmd”的模块,其名称表明它为攻击者提供了在受感染设备上执行命令的能力。


虽然 Sandman 的一些定制恶意软件及其部分 C2 服务器基础设施已被曝光,但攻击者的来源仍然未知。Sandman 加入了越来越多的针对电信公司进行间谍活动的高级攻击者行列,他们使用难以检测和阻止的独特的隐形后门。


由于电信提供商管理的数据的敏感性,电信提供商经常成为间谍活动的目标。

9月19日,一组被追踪为“ ShroudedSnooper ”的新攻击活动被思科安全团队披露,该活动使用两个新颖的后门:HTTPSnoop 和 PipeSnoop,同样针对中东的电信运营商


参考链接:

https://www.bleepingcomputer.com/news/security/sandman-hackers-backdoor-telcos-with-new-luadream-malware/


黑客利用新的 HTTPSnoop 恶意软件对电信提供商进行后门攻击

https://www.bleepingcomputer.com/news/security/hackers-backdoor-telecom-providers-with-new-httpsnoop-malware/

今日安全资讯速递




APT事件

Advanced Persistent Threat

黑客部署前所未见的 Linux 恶意软件攻击政府实体

https://gbhackers.com/hackers-have-deployed-linux-attack-government-entities/


“Sandman”黑客组织使用新的 LuaDream 后门针对中东、西欧、南亚地区电信公司

https://www.bleepingcomputer.com/news/security/sandman-hackers-backdoor-telcos-with-new-luadream-malware/


黑客利用新的 HTTPSnoop 恶意软件对电信提供商进行后门攻击

https://www.bleepingcomputer.com/news/security/hackers-backdoor-telecom-providers-with-new-httpsnoop-malware/




一般威胁事件

General Threat Incidents

法国太空和国防技术制造商 Exail Technologies 暴露了数据库访问权限

https://cybernews.com/security/exail-technologies-expose-database-access/


FBI 和 CISA 警告关键基础设施提防 Snatch 勒索软件的攻击

https://securityweek.com/critical-infrastructure-organizations-warned-of-snatch-ransomware-attacks/


英国新的在线安全法加大了对大型科技公司的打击力度

https://www.securityweek.com/uks-new-online-safety-law-adds-to-crackdown-on-big-tech-companies/


P2PInfect 僵尸网络活动因更隐蔽的恶意软件变体激增 600 倍

https://www.bleepingcomputer.com/news/security/p2pinfect-botnet-activity-surges-600x-with-stealthier-malware-variants/


BOT攻击每年造成的损失翻倍至 8600 万美元

https://www.infosecurity-magazine.com/news/bot-attack-costs-double-to-86m/


诺顿报告称,诈骗现在占网络威胁的 75%

https://www.infosecurity-magazine.com/news/scams-now-make-up-75-cyber-threats/


米高梅表示已从网络攻击中恢复

https://cybernews.com/news/mgm-touts-cyber-attack-recovery-on-track-employees-tell-different-story/


谷歌因将司机导航至倒塌的桥而致命的事故被起诉

https://cybernews.com/news/google-sued-over-fatal-crash/


巴基斯坦政府表示,各机构应避免使用“印度起源”的人工智能(AI)产品和服务

https://cybernews.com/news/pakistan-cautions-against-indian-ai/


澳大利亚必胜客向 193,000 名顾客发出数据泄露警告

https://www.bleepingcomputer.com/news/security/pizza-hut-australia-warns-193-000-customers-of-a-data-breach/


加拿大航空承认系统漏洞,员工记录遭泄露

https://cybernews.com/news/air-canada-system-breach-employee-data/




漏洞事件

Vulnerability Incidents

Atos Unify 漏洞可能允许黑客进入系统后门

https://www.securityweek.com/atos-unify-vulnerabilities-could-allow-hackers-to-backdoor-systems/


CISA 将 Owl Labs、Samsung、Realtek 漏洞添加到已利用漏洞列表中

https://therecord.media/cisa-adds-owl-labs-samsung-realtek-bugs-to-kev-list


苹果紧急更新修复了攻击中利用的 3 个新的0day漏洞

https://www.bleepingcomputer.com/news/apple/apple-emergency-updates-fix-3-new-zero-days-exploited-in-attacks/


汽车网络安全研究显示过去十年中关键漏洞有所下降

https://www.securityweek.com/car-cybersecurity-study-shows-drop-in-critical-vulnerabilities-over-past-decade/

扫码关注

会杀毒的单反狗

讲述普通人能听懂的安全故事


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com