'Sandman' olarak adlandırılan daha önce bilinmeyen bir tehdit oyuncusu, 'Luadream' adlı modüler bilgi açıcı bir kötü amaçlı yazılım kullanarak Orta Doğu, Batı Avrupa ve Güney Asya'daki telekomünikasyon hizmet sağlayıcılarını hedefliyor.
Bu kötü niyetli etkinlik, Sentinellabs tarafından Ağustos 2023'te QGroup GMBH ile işbirliği içinde keşfedildi ve Backdoor'un 'Dreamland Müşterisi' iç adından sonra tehdit oyuncusu ve kötü amaçlı yazılımlarını adlandırdı.
Sandman'ın operasyonel tarzı, yanal hareket gerçekleştirirken ve siber sorumluluk işlemlerini en üst düzeye çıkarmak için ihlal edilen sistemlere uzun süreli erişimi sürdürürken algılamadan kaçınmak için düşük bir profil tutmaktır.
Sandman Tehdit Oyuncusu, Orta Doğu, Batı Avrupa ve Güney Asya alt kıtalarındaki telekomünikasyon hizmet sağlayıcılarını hedefliyor.
Sentinelone, tehdit aktörünün çalınan idari kimlik bilgilerini kullanarak ilk olarak kurumsal bir ağa erişim kazandığını söylüyor.
Ağ ihlal edildikten sonra Sandman, bellekte depolanan NTLM karmalarını çıkararak ve yeniden kullanarak uzak sunuculara ve hizmetlere kimliği doğrulamak için "Horh-Pass" saldırıları kullanılarak görülür.
Sentinellabs raporu, bir örnekte, bilgisayar korsanlarının hedeflediği tüm iş istasyonlarının yönetim personeline atandığını ve saldırganın ayrıcalıklı veya gizli bilgilere olan ilgisini gösterdiğini açıklıyor.
Sandman, hedeflenen sistemlerde DLL kaçırma kullanarak saldırılarda 'Luadream' adlı yeni bir modüler kötü amaçlı yazılım dağıttığı görülüyor. Kötü amaçlı yazılım, LUA komut dosyası dili için Luajit'in tam zamanında derleyicisini kullanmaktan alır
Kötü amaçlı yazılım, komut ve kontrol sunucusundan (C2) alınan ve tehlikeye atılan sistemde yerel olarak yürütülen işlevselliğini genişleten verileri toplamak ve eklentileri yönetmek için kullanılır.
Kötü amaçlı yazılımların geliştirilmesi aktif gibi görünmektedir, "12.0.2.5.23.29" sürüm sayısını gösteren alınan bir sürüm dizesi ve analistler Haziran 2022'ye kadar uzağa giden günlük ve test fonksiyonlarının belirtileri gördüler.
Luadream'in evrelemesi, kötü niyetli DLL dosyasını çalıştıran Windows Faks veya Makarıcı Hizmeti tarafından başlatılan tespitten kaçınmayı amaçlayan sofistike yedi aşamalı bellek içi sürece dayanmaktadır.
Sentinellabs, sipariş kaçırma için kullanılan DLL dosyalarındaki zaman damgalarının saldırılara çok yakın olduğunu ve bu da belirli müdahaleler için özel olarak oluşturulduğunu gösterebileceğini bildiriyor.
Evreleme sürecindeki anti-analiz önlemleri şunları içerir:
Luadream, FFI kütüphanesinden Luajit bayt modunu ve Windows API'sını kullanan 13 çekirdek ve 21 destek bileşenine sahip 34 bileşen içerir.
Çekirdek bileşenler, sistem ve kullanıcı veri toplama, eklenti kontrolü ve C2 iletişim gibi kötü amaçlı yazılımların birincil işlevlerini işlerken, destek bileşenleri LUA LIBS ve Windows API tanımları sağlamak gibi teknik yönlerle ilgilenir.
Başlatma üzerine Luadream bir C2 sunucusuna (TCP, HTTPS, WebSocket veya Quic aracılığıyla) bağlanır ve kötü amaçlı yazılım sürümleri, IP/MAC adresleri, işletim sistemi ayrıntıları vb.
Her saldırıda Luadream üzerinden belirli eklentiler yerleştiren saldırganların Sentinellabs'ın mevcut tüm eklentilerin kapsamlı bir listesine sahip olmadığı için saldırganlar nedeniyle.
Bununla birlikte, rapor 'CMD' adlı bir modülü not eder ve adı Saldırganlara Saldırganlar Komutu Yürütme yeteneklerini tehlikeye atılmış cihazda verir.
Sandman'ın özel kötü amaçlı yazılımlarından bazıları ve C2 sunucu altyapısının bir kısmı ortaya çıkarken, tehdit oyuncunun kökeni cevapsız kalıyor.
Sandman, tespit ve durdurmak için zorlu benzersiz gizli arka kapılar kullanarak telekom şirketlerini casusluk için hedefleyen gelişmiş saldırganların büyüyen bir listesine katılıyor.
Telekomünikasyon sağlayıcıları, yönettikleri verilerin hassas doğası nedeniyle casusluk faaliyetleri için sık görülen bir hedeftir.
Bu haftanın başlarında, Orta Doğu'daki telekomünikasyon taşıyıcılarına karşı iki yeni arka plan olan Httpsnoop ve Pipesnoop kullanan 'Shroudedsnooper' olarak izlenen yeni bir etkinlik kümesini bildirdik.
Asya Hükümeti'ne karşı saldırıda kaçan Gelsemium hacker
Siber casusluk saldırılarında kullanılan yeni sprysocks linux kötü amaçlı yazılım
Bilgisayar korsanları Backdoor telekom sağlayıcıları yeni Httpsnoop kötü amaçlı yazılım
İran Apt33, ABD Cybercom Sorunları Uyarısı tarafından sömürülen görünüm kusuru
Microsoft: Gizli Keten Typhoon Hacker'ları algılamadan kaçmak için lolbins kullanıyor
Kaynak: Bleeping Computer