导 读
一个被称为“Sandman”未知其来源的新APT组织使用名为“LuaDream”的模块化信息窃取恶意软件,以中东、西欧和南亚的电信服务提供商为目标。
这种恶意活动是由 SentinelLabs 与 QGroup GmbH 于 2023 年 8 月合作发现的,QGroup GmbH 以后门的内部名称“DreamLand 客户端”命名该恶意软件。
“Sandman”的行动风格是保持低调以逃避检测,同时进行横向移动并保持对被破坏系统的长期访问,以最大限度地扩大其网络间谍活动。
热门目标
Sandman APT组织的目标是中东、西欧和南亚次大陆的电信服务提供商。SentinelOne 表示,攻击者首先使用窃取的管理凭据访问公司网络。
一旦网络遭到破坏,Sandman 就会使用“哈希传递”攻击,通过提取和重用存储在内存中的 NTLM 哈希来对远程服务器和服务进行身份验证。
SentinelLabs的报告解释说,在一种情况下,黑客针对的所有工作站都被分配给管理人员,这表明攻击者对特权或机密信息感兴趣。
Sandman 目标的地理分布,来源:SentinelLabs
LuaDream 恶意软件
人们发现 SandMan 在使用 DLL 劫持对目标系统进行攻击时部署了一种名为“LuaDream”的新型模块化恶意软件。该恶意软件因使用 Lua 脚本语言的 LuaJIT 即时编译器而得名。
该恶意软件用于收集数据并管理扩展其功能的插件,这些插件从命令和控制服务器(C2)接收并在受感染的系统上本地执行。
该恶意软件的开发似乎很活跃,检索到的版本字符串表明版本号为“12.0.2.5.23.29”,分析人员已经看到了最早可以追溯到 2022 年 6 月的日志和测试功能的迹象。
LuaDream 的暂存依赖于一个复杂的七步内存进程,旨在逃避由运行恶意 DLL 文件的 Windows Fax 或 Spooler 服务启动的检测。
Sandman攻击过程,来源:SentinelLabs
SentinelLabs 报告称,用于劫持攻击的 DLL 文件的时间戳与攻击非常接近,这可能表明它们是针对特定入侵目标自定义创建的。
分阶段过程中的反分析措施包括:
从调试器中隐藏 LuaDream 的线程。
关闭具有无效句柄的文件。
检测基于 Wine 的沙箱环境。
内存中映射可躲避 EDR API 挂钩和基于文件的检测。
使用基于 XOR 的加密和压缩来打包暂存代码。
LuaDream由34个组件组成,其中13个核心组件和21个支持组件,它们通过ffi库利用LuaJIT字节码和Windows API。
核心组件处理恶意软件的主要功能,例如系统和用户数据收集、插件控制和 C2 通信,而支持组件则处理技术方面,例如提供 Lua 库和 Windows API 定义。
该恶意软件的主要组件 (SentinelLabs)
初始化后,LuaDream 连接到 C2 服务器(通过 TCP、HTTPS、WebSocket 或 QUIC)并发送收集到的信息,包括恶意软件版本、IP/MAC 地址、操作系统详细信息等。
由于攻击者在每次攻击中都通过 LuaDream 部署特定插件,SentinelLabs 没有所有可用插件的详尽列表。
报告指出了一个名为“cmd”的模块,其名称表明它为攻击者提供了在受感染设备上执行命令的能力。
虽然 Sandman 的一些定制恶意软件及其部分 C2 服务器基础设施已被曝光,但攻击者的来源仍然未知。Sandman 加入了越来越多的针对电信公司进行间谍活动的高级攻击者行列,他们使用难以检测和阻止的独特的隐形后门。
由于电信提供商管理的数据的敏感性,电信提供商经常成为间谍活动的目标。
9月19日,一组被追踪为“ ShroudedSnooper ”的新攻击活动被思科安全团队披露,该活动使用两个新颖的后门:HTTPSnoop 和 PipeSnoop,同样针对中东的电信运营商。
参考链接:
https://www.bleepingcomputer.com/news/security/sandman-hackers-backdoor-telcos-with-new-luadream-malware/
黑客利用新的 HTTPSnoop 恶意软件对电信提供商进行后门攻击
https://www.bleepingcomputer.com/news/security/hackers-backdoor-telecom-providers-with-new-httpsnoop-malware/
今日安全资讯速递
APT事件
Advanced Persistent Threat
黑客部署前所未见的 Linux 恶意软件攻击政府实体
https://gbhackers.com/hackers-have-deployed-linux-attack-government-entities/
“Sandman”黑客组织使用新的 LuaDream 后门针对中东、西欧、南亚地区电信公司
https://www.bleepingcomputer.com/news/security/sandman-hackers-backdoor-telcos-with-new-luadream-malware/
黑客利用新的 HTTPSnoop 恶意软件对电信提供商进行后门攻击
https://www.bleepingcomputer.com/news/security/hackers-backdoor-telecom-providers-with-new-httpsnoop-malware/
一般威胁事件
General Threat Incidents
法国太空和国防技术制造商 Exail Technologies 暴露了数据库访问权限
https://cybernews.com/security/exail-technologies-expose-database-access/
FBI 和 CISA 警告关键基础设施提防 Snatch 勒索软件的攻击
https://securityweek.com/critical-infrastructure-organizations-warned-of-snatch-ransomware-attacks/
英国新的在线安全法加大了对大型科技公司的打击力度
https://www.securityweek.com/uks-new-online-safety-law-adds-to-crackdown-on-big-tech-companies/
P2PInfect 僵尸网络活动因更隐蔽的恶意软件变体激增 600 倍
https://www.bleepingcomputer.com/news/security/p2pinfect-botnet-activity-surges-600x-with-stealthier-malware-variants/
BOT攻击每年造成的损失翻倍至 8600 万美元
https://www.infosecurity-magazine.com/news/bot-attack-costs-double-to-86m/
诺顿报告称,诈骗现在占网络威胁的 75%
https://www.infosecurity-magazine.com/news/scams-now-make-up-75-cyber-threats/
米高梅表示已从网络攻击中恢复
https://cybernews.com/news/mgm-touts-cyber-attack-recovery-on-track-employees-tell-different-story/
谷歌因将司机导航至倒塌的桥而致命的事故被起诉
https://cybernews.com/news/google-sued-over-fatal-crash/
巴基斯坦政府表示,各机构应避免使用“印度起源”的人工智能(AI)产品和服务
https://cybernews.com/news/pakistan-cautions-against-indian-ai/
澳大利亚必胜客向 193,000 名顾客发出数据泄露警告
https://www.bleepingcomputer.com/news/security/pizza-hut-australia-warns-193-000-customers-of-a-data-breach/
加拿大航空承认系统漏洞,员工记录遭泄露
https://cybernews.com/news/air-canada-system-breach-employee-data/
漏洞事件
Vulnerability Incidents
Atos Unify 漏洞可能允许黑客进入系统后门
https://www.securityweek.com/atos-unify-vulnerabilities-could-allow-hackers-to-backdoor-systems/
CISA 将 Owl Labs、Samsung、Realtek 漏洞添加到已利用漏洞列表中
https://therecord.media/cisa-adds-owl-labs-samsung-realtek-bugs-to-kev-list
苹果紧急更新修复了攻击中利用的 3 个新的0day漏洞
https://www.bleepingcomputer.com/news/apple/apple-emergency-updates-fix-3-new-zero-days-exploited-in-attacks/
汽车网络安全研究显示过去十年中关键漏洞有所下降
https://www.securityweek.com/car-cybersecurity-study-shows-drop-in-critical-vulnerabilities-over-past-decade/
扫码关注
会杀毒的单反狗
讲述普通人能听懂的安全故事
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...