Telekomünikasyon sektörü, hayati önem taşıyan altyapısı ve hem kişisel hem de iş iletişimini içeren muazzam miktarda hassas veri nedeniyle bilgisayar korsanları tarafından agresif bir şekilde hedef alınmaktadır.
Telekomünikasyona yönelik siber saldırılar aşağıdakilere yol açabilir: –
- Hizmet kesintileri
- Veri ihlalleri
- Ulusal güvenlik riskleri
Ağustos 2023’te SentinelLabs ve QGroup GmbH, telekomünikasyon şirketlerini hedef alan, bilinmeyen bir aktör tarafından LuaJIT tabanlı arka kapıyı kullanan ve ‘Sandman’ ve ‘LuaDream’ olarak adlandırılan bilinmeyen bir tehdit kümesi tespit etti.
SentinelLabs’taki araştırmacılar yakın zamanda Sandman APT grubunun LuaDream kötü amaçlı yazılımını dağıtmak ve sistem bilgilerini çalmak için telekom şirketlerini aktif olarak hedef aldığını bildirdi.
Hedeflenen Kurbanlar
Güvenlik uzmanları, C2 netflow verilerinin de gösterdiği gibi, faaliyet kümesindeki farklı bölgelerdeki telekomünikasyon sağlayıcılarına net bir şekilde odaklanıldığını belirtti.
Aşağıda hedeflenen bölgelerden bahsettik: –
- Orta Doğu
- Batı Avrupa
- Güney Asya yarımadası
LuaDream, aşağıdaki gibi çoklu protokol özelliklerine sahip, çok bileşenli bir arka kapıdır: –
- Eklentileri yönetme
- Sistem verilerinin sızdırılması
- Kullanıcı verilerinin sızdırılması
Teknik Analiz
LuaDream’in mimarisi, aşağıdakileri içeren, modüler, çoklu protokol özelliklerine sahip, aktif olarak geliştirilmiş, versiyonları oluşturulmuş bir projeyi gösterir: –
- Kesin takip saldırıları için veri çalmak.
- LuaDream’in yeteneklerini genişletmek için eklentileri kontrol etmek.
Doğru kümeleme, karmaşık taktikler nedeniyle zordur ve hassas veriler için iletişim sağlayıcılarını hedef alan muhtemel casusluk hedeflerine sahip motive bir düşmana işaret eder.
LuaDream’in dize yapıları ve derleme zaman damgaları, 2022’nin ilk yarısındaki kötü amaçlı yazılım geliştirme faaliyetlerine işaret ediyor ve bu da olası faaliyetin o yıldan başlayacağını gösteriyor.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Uzmanlar LuaDream’i bilinen aktörlere atfetmek yerine özel yüklenicilere yöneliyor. LuaJIT’in, tarihsel olarak Batılı aktörlerle ilişkilendirilen APT kötü amaçlı yazılımlarında kullanımı, Sandman APT’de görüldüğü gibi, daha geniş bir tehdit ortamına doğru genişliyor.
Güvenlik analistleri, Sandman’ın Ağustos 2023’te karma geçiş yöntemlerini ve çalınan şifreleri kullanarak belirli iş istasyonlarına saldırdığını gördü. Sandman öncelikle LuaDream’i dağıtmaya odaklandı ve uç nokta izinsiz girişleri arasında ortalama beş gün geçti.
Sandman, LuaDream yükleme işleminin bir parçası olan, Spooler hizmeti tarafından yeniden başlatmadan yüklenen kötü amaçlı bir ualapi.dll dosyasıyla DLL ele geçirme işlemini kullandı.
Aşağıda LuaDream aşamalandırmasında yer alan DLL görüntülerinden bahsettik: –
- ualapi.dll
- MemoryLoadPex64.dll
- ortak.dll
Bununla birlikte LuaDream’in config dosyasında C2 detayları da yer alıyor ve mode.encagil ile WebSocket protokolü üzerinden haberleştiği ortaya çıktı.[.]com.
Netflow veri analizi, farklı bölgelerdeki birden fazla LuaDream dağıtımının aynı sunucuyla iletişim kurması nedeniyle C2 altyapısı segmentasyonunun eksikliğini gösteriyor.
Üstelik Sandman’in bu özelliği ve Metador gibi gizemli aktörleri de bir sır olarak kalıyor. LuaDream, siber casusluk kötü amaçlı yazılımlarında devam eden yeniliklerin bir örneğidir.
IOC’ler
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.