Ένας προηγουμένως άγνωστος ηθοποιός απειλών με το όνομα «Sandman» στοχεύει παρόχους τηλεπικοινωνιακών υπηρεσιών στη Μέση Ανατολή, τη Δυτική Ευρώπη και τη Νότια Ασία, χρησιμοποιώντας ένα σπονδυλωτό κακόβουλο λογισμικό κλοπής πληροφοριών με το όνομα «LuaDream».
Αυτή η κακόβουλη δραστηριότητα ανακαλύφθηκε από την SentinelLabs σε συνεργασία με την QGroup GmbH τον Αύγουστο του 2023, η οποία ονόμασε τον παράγοντα απειλής και το κακόβουλο λογισμικό από το εσωτερικό όνομα του backdoor «DreamLand client».
Το λειτουργικό στυλ του Sandman είναι να διατηρεί χαμηλό προφίλ για να αποφεύγει τον εντοπισμό ενώ εκτελεί πλευρική κίνηση και διατηρεί μακροπρόθεσμη πρόσβαση σε παραβιασμένα συστήματα για να μεγιστοποιήσει τις επιχειρήσεις κυβερνοκατασκοπείας του.
Ένας δημοφιλής στόχος
Ο παράγοντας απειλών Sandman στοχεύει παρόχους τηλεπικοινωνιακών υπηρεσιών στη Μέση Ανατολή, τη Δυτική Ευρώπη και τις υποηπείρους της Νότιας Ασίας.
Η SentinelOne λέει ότι ο παράγοντας απειλών αποκτά πρώτα πρόσβαση σε ένα εταιρικό δίκτυο χρησιμοποιώντας κλεμμένα διαπιστευτήρια διαχείρισης.
Μόλις παραβιαστεί το δίκτυο, ο Sandman έχει δει να χρησιμοποιεί επιθέσεις “pass-the-hash” για έλεγχο ταυτότητας σε απομακρυσμένους διακομιστές και υπηρεσίες εξάγοντας και επαναχρησιμοποιώντας κατακερματισμούς NTLM που είναι αποθηκευμένοι στη μνήμη.
ο Αναφορά SentinelLabs εξηγεί ότι, σε μία περίπτωση, όλοι οι σταθμοί εργασίας που στοχοποιήθηκαν από τους χάκερ ανατέθηκαν σε διευθυντικό προσωπικό, υποδεικνύοντας το ενδιαφέρον του εισβολέα για προνομιακές ή εμπιστευτικές πληροφορίες.
Πηγή: SentinelLabs
Κακόβουλο λογισμικό LuaDream
Το SandMan έχει δει να αναπτύσσει ένα νέο αρθρωτό κακόβουλο λογισμικό με το όνομα «LuaDream» σε επιθέσεις που χρησιμοποιούν πειρατεία DLL σε στοχευμένα συστήματα. Το κακόβουλο λογισμικό πήρε το όνομά του από τη χρήση του μεταγλωττιστή LuaJIT just-in-time για τη γλώσσα δέσμης ενεργειών Lua
Το κακόβουλο λογισμικό χρησιμοποιείται για τη συλλογή δεδομένων και τη διαχείριση προσθηκών που επεκτείνουν τη λειτουργικότητά του, τα οποία λαμβάνονται από τον διακομιστή εντολών και ελέγχου (C2) και εκτελούνται τοπικά στο παραβιασμένο σύστημα.
Η ανάπτυξη του κακόβουλου λογισμικού φαίνεται να είναι ενεργή, με μια συμβολοσειρά ανακτημένης έκδοσης που υποδεικνύει τον αριθμό έκδοσης “12.0.2.5.23.29” και οι αναλυτές έχουν δει σημάδια καταγραφής και λειτουργιών δοκιμών από τον Ιούνιο του 2022.
Η εγκατάσταση του LuaDream βασίζεται σε μια εξελιγμένη διαδικασία στη μνήμη επτά βημάτων με στόχο την αποφυγή ανίχνευσης, η οποία ξεκινά είτε από την υπηρεσία Fax των Windows είτε από την υπηρεσία Spooler, η οποία εκτελεί το κακόβουλο αρχείο DLL.
Πηγή: SentinelLabs
Το SentinelLabs αναφέρει ότι οι χρονικές σημάνσεις στα αρχεία DLL που χρησιμοποιούνται για την παραβίαση παραγγελιών είναι πολύ κοντά στις επιθέσεις, γεγονός που μπορεί να υποδεικνύει ότι δημιουργήθηκαν προσαρμοσμένα για συγκεκριμένες εισβολές.
Τα μέτρα κατά της ανάλυσης στη διαδικασία σταδιοποίησης περιλαμβάνουν:
- Απόκρυψη των νημάτων του LuaDream από προγράμματα εντοπισμού σφαλμάτων.
- Κλείσιμο αρχείων με μη έγκυρη λαβή.
- Ανίχνευση περιβαλλόντων sandbox που βασίζονται στο κρασί.
- Αντιστοίχιση στη μνήμη για αποφυγή αγκίστρων EDR API και ανιχνεύσεων που βασίζονται σε αρχεία.
- Συσκευασία κώδικα σταδιοποίησης με κρυπτογράφηση και συμπίεση που βασίζεται σε XOR.
Το LuaDream αποτελείται από 34 στοιχεία, με 13 πυρήνες και 21 στοιχεία υποστήριξης, τα οποία χρησιμοποιούν τον bytecode LuaJIT και το API των Windows μέσω της βιβλιοθήκης ffi.
Τα βασικά στοιχεία χειρίζονται τις κύριες λειτουργίες του κακόβουλου λογισμικού, όπως η συλλογή δεδομένων συστήματος και χρήστη, ο έλεγχος προσθηκών και οι επικοινωνίες C2, ενώ τα στοιχεία υποστήριξης ασχολούνται με τις τεχνικές πτυχές, όπως η παροχή ορισμών Lua libs και Windows API.
Κατά την αρχικοποίηση, το LuaDream συνδέεται σε έναν διακομιστή C2 (μέσω TCP, HTTPS, WebSocket ή QUIC) και στέλνει συλλεγμένες πληροφορίες, συμπεριλαμβανομένων εκδόσεων κακόβουλου λογισμικού, διευθύνσεων IP/MAC, λεπτομερειών λειτουργικού συστήματος κ.λπ.
Λόγω του ότι οι εισβολείς αναπτύσσουν συγκεκριμένες προσθήκες μέσω του LuaDream σε κάθε επίθεση, το SentinelLabs δεν διαθέτει μια εξαντλητική λίστα με όλα τα διαθέσιμα πρόσθετα.
Ωστόσο, η αναφορά σημειώνει μια λειτουργική μονάδα με το όνομα “cmd”, το όνομα της οποίας υποδηλώνει ότι παρέχει στους εισβολείς δυνατότητες εκτέλεσης εντολών στη συσκευή που έχει παραβιαστεί.
Ενώ ορισμένα από τα προσαρμοσμένα κακόβουλα προγράμματα του Sandman και μέρος της υποδομής του διακομιστή C2 έχουν εκτεθεί, η προέλευση του παράγοντα απειλής παραμένει αναπάντητη.
Ο Sandman εντάσσεται σε έναν αυξανόμενο κατάλογο προηγμένων επιτιθέμενων που στοχεύουν εταιρείες τηλεπικοινωνιών για κατασκοπεία, χρησιμοποιώντας μοναδικές κρυφές κερκόπορτες που είναι δύσκολο να εντοπιστούν και να σταματήσουν.
Οι πάροχοι τηλεπικοινωνιών αποτελούν συχνό στόχο κατασκοπευτικών δραστηριοτήτων λόγω της ευαίσθητης φύσης των δεδομένων που διαχειρίζονται.
Νωρίτερα αυτήν την εβδομάδα, αναφέραμε ένα νέο σύμπλεγμα δραστηριότητας που παρακολουθείται ως “ShroudedSnooper” που χρησιμοποίησε δύο νέες κερκόπορτες, το HTTPSnoop και το PipeSnoop, εναντίον εταιρειών τηλεπικοινωνιών στη Μέση Ανατολή.
