Gizemli ‘Sandman’ Tehdit Aktörü Üç Kıtadaki Telekom Sağlayıcılarını Hedef Alıyor


21 Eylül 2023THNTelekom Güvenliği / Siber Saldırı

Kum Adam

Daha önce belgelenmemiş bir tehdit aktörü Kum Adam Orta Doğu, Batı Avrupa ve Güney Asya alt kıtasındaki telekomünikasyon koation sağlayıcılarını hedef alan bir dizi siber saldırıya atfedildi.

Özellikle, izinsiz girişler, LuaJIT olarak bilinen Lua programlama dili için tam zamanında (JIT) derleyiciyi, LuaJIT adı verilen yeni bir implantı dağıtmak için bir araç olarak kullanıyor. LuaDream.

SentinelOne güvenlik araştırmacısı Aleksandar Milenkoski, SentinelOne güvenlik araştırmacısı Aleksandar Milenkoski ile işbirliği içinde yayınlanan bir analizde, “Gözlemlediğimiz faaliyetler, belirli hedeflenen iş istasyonlarına doğru stratejik yanal hareket ve minimum katılımla karakterize ediliyor; bu da tespit riskini en aza indirirken belirlenen hedeflere ulaşmayı amaçlayan kasıtlı bir yaklaşımı akla getiriyor.” dedi. QGroup.

“LuaDream’in uygulanması, iyi yürütülen, sürdürülen ve aktif olarak geliştirilen, önemli ölçekte bir projeye işaret ediyor.”

Ne kampanya ne de taktikleri bilinen herhangi bir tehdit aktörü veya grubuyla ilişkilendirilmedi; ancak mevcut kanıtlar, çeşitli coğrafyalarda telekom sektörünü hedefleme eğiliminde olan bir siber casusluk düşmanına işaret ediyor. Saldırılar ilk olarak Ağustos 2023’te birkaç hafta boyunca gözlemlendi.

Milenkoski, “LuaDream hazırlama zinciri, kötü amaçlı yazılımı doğrudan belleğe dağıtırken tespitten kaçınmak ve analizi engellemek için tasarlandı.” diye açıkladı. “LuaDream’in uygulama ve hazırlama süreci, Lua kodlama dilinin tam zamanında derleyicisi olan LuaJIT platformunu kullanıyor. Bunun amacı öncelikle kötü amaçlı Lua komut dosyası kodunun tespit edilmesini zorlaştırmak.”

Siber güvenlik

İmplantın kaynak kodu referansı olan 3 Haziran 2022’de yer alan dize eserleri, hazırlık çalışmalarının bir yıldan fazla süredir devam ettiğini gösteriyor.

LuaDream’in, Kaspersky’nin 2023’ün ilk çeyreğine ilişkin APT trend raporunda DreamLand olarak adlandırdığı yeni bir kötü amaçlı yazılım türünün bir çeşidi olduğundan şüpheleniliyor; Rus siber güvenlik şirketi bunu “Tam Zamanında” ile birlikte Lua kodlama dilini kullandığını tanımlıyor. (JIT) derleyicisinin tespit edilmesi zor kötü amaçlı kod yürütmesine neden oluyor.”

Lua’nın kullanımı, 2012’den bu yana üç farklı durumda daha önce gözlemlenen tehdit ortamında nadir görülen bir durumdur: Alev, Hayvan Çiftliği (diğer adıyla SNOWGLOBE) ve Sauron Projesi.

İlk erişimin tam modu belirsizliğini koruyor ancak idari kimlik bilgilerinin çalındığı ve ilgilenilen iş istasyonlarını ihlal etmek ve sonuçta LuaDream’i teslim etmek için keşif yapıldığı gözlemlendi.

13 çekirdek ve 21 destek bileşenine sahip modüler, çok protokollü bir arka kapı olan LuaDream, öncelikle sistem ve kullanıcı bilgilerini sızdırmanın yanı sıra komut yürütme gibi özelliklerini genişleten saldırgan tarafından sağlanan eklentileri yönetmek için tasarlanmıştır. Ayrıca tespitten kaçınmak ve analizi engellemek için çeşitli hata ayıklama önleme özelliklerine de sahiptir.

Komuta ve kontrol (C2) iletişimi, “mode.encagil” adlı bir alanla bağlantı kurularak gerçekleştirilir.[.]com” WebSocket protokolünü kullanır. Ancak aynı zamanda TCP, HTTPS ve QUIC protokolleri üzerinden gelen bağlantıları da dinleyebilir.

Çekirdek modüller yukarıda belirtilen özelliklerin tümünü uygularken, destek bileşenleri arka kapının Windows HTTP sunucusu API’sine dayalı bağlantıları beklemek ve komutları yürütmek için yeteneklerini artırmaktan sorumludur.

Milenkoski, “LuaDream, siber casusluk tehdit aktörlerinin sürekli gelişen kötü amaçlı yazılım cephaneliğine akıttıkları sürekli yenilik ve ilerleme çabalarının ilgi çekici bir örneği olarak duruyor” dedi.

Açıklama, SentinelOne’ın, Backdoor Diplomacy, Earth Estries ve Tainted Love Operasyonu adlı faaliyet kümelerinin bir parçası olarak Afrika’daki telekomünikasyon, finans ve hükümet sektörlerini hedefleyenler de dahil olmak üzere Çinli tehdit aktörlerinin Afrika’daki sürekli stratejik saldırılarını detaylandıran paralel bir raporuyla örtüşüyor.

YAKLAŞAN WEBİNAR

SaaS Güvenliğini Yükseltme: ITDR ve SSPM için Kapsamlı Bir Kılavuz

ITDR’nin tehditleri nasıl tanımlayıp azalttığına ilişkin eyleme geçirilebilir bilgilerle bir adım önde olun. Kimliğinizin ihlal edilemez kalmasını sağlamada SSPM’nin vazgeçilmez rolü hakkında bilgi edinin.

Becerilerinizi Güçlendirin

Şirket, amacının kıta genelinde etki alanını genişletmek ve yumuşak güç gündeminin bir parçası olarak bu tür saldırılardan yararlanmak olduğunu söyledi.

SentinelOne, Kuzey Afrika merkezli bir telekomünikasyon kuruluşunun, Tainted Love Operasyonu’nun arkasındaki aynı tehdit aktörü tarafından ele geçirildiğini tespit ettiğini belirterek, saldırının zamanlamasının, örgütün daha fazla bölgesel genişleme için yaptığı özel müzakerelerle uyumlu olduğunu ekledi.

“BackdoorDiplomacy APT ve Tainted Love Operasyonunu yöneten tehdit grubu tarafından hedeflenen saldırılar, destek sağlamaya yönelik seviyeli bir niyeti gösteriyor [China in its efforts to] Güvenlik araştırmacısı Tom Hegel, “Kendisini Afrika’nın dijital evriminde önemli ve belirleyici bir güç olarak kurarak, jeostratejik hedefleriyle uyumlu politikaları ve anlatıları şekillendiriyor” dedi.

Bu aynı zamanda Cisco Talos’un Orta Doğu’daki telekomünikasyon hizmet sağlayıcılarının, HTTPSnoop ve PipeSnoop adı verilen bir dizi gizli arka kapı kullanan ShroudedSnooper adlı yeni bir izinsiz giriş grubunun hedefi olduğunu açıklamasından birkaç gün sonra geldi.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link