Siber Suçlar , Siber Savaş / Ulus-Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
Bilinmeyen Hackerlar Yeni Arka Kapıyla Orta Doğu, Avrupa ve Asya’daki Telekom Şirketlerini Hedef Alıyor
Jayant Chakravarti (@JayJay_Tech) •
22 Eylül 2023
SentinelOne güvenlik araştırmacıları, ağustos ayında Orta Doğu, Batı Avrupa ve Güney Asya’daki telekomünikasyon şirketlerini hedef almak için modüler arka kapılar ve oldukça gizli taktikler kullanan, kaynağı bilinmeyen şüpheli siber casusluk aktörlerini gözlemledi.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
SentinelOne, Sandman olarak takip edilen grubun, Lua programlama dili için tam zamanında derleyici olan ve kötü amaçlı Lua kod kodunun tespit edilmesini zorlaştıran LuaJIT adlı yeni bir arka kapı kullandığını tespit etti.
SentinelOne tarafından LuaDream olarak adlandırılan bu yeni arka kapı, kötü amaçlı bir yazılım yüklüyor ualapi.dll Dosyayı, Faks ve Windows Biriktirici hizmetleri aracılığıyla virüslü bilgisayara aktarır, ancak kötü amaçlı yazılım, hemen algılama işlemini gerçekleştirip riske atmak yerine, kurbanın sistem önyüklemesini gerçekleştirmesini bekler.
SentinelOne kıdemli tehdit araştırmacısı Aleksandar Milenkoski bir blog yazısında şunları söyledi: “LuaDream, siber casusluk tehdit aktörlerinin sürekli gelişen kötü amaçlı yazılım cephaneliğine akıttıkları sürekli yenilik ve ilerleme çabalarının ilgi çekici bir örneğidir.” Araştırmacılar, etkinliği bilinen bir siber aktörle ilişkilendirebilecek herhangi bir eser veya IP adresi bulamadı.
SentinelOne araştırmacıları, zaman damgaları üzerinde yapılan bir analizin, kötü amaçlı yazılımın geliştirilmesinin 2022’de başladığını, özel bir yüklenicinin veya paralı asker grubunun olası katılımıyla başladığını gösterdiğini, çünkü tehdit aktörlerinin kötü amaçlı yazılım dağıtmak için LuaJIT derleyicisini kullanmasının nadir olduğunu söyledi.
Telekom şirketleri, büyük olasılıkla çağrı ve konum bilgileriyle ilgili verileri çalmak amacıyla ulus devlet saldırganlarının saldırısına uğruyor. Mart ayında SentinelOne, Orta Doğu’daki telekomünikasyon sağlayıcılarını hedef alan bir dizi siber saldırıyı Çin devleti destekli grup Gallium ve APT41’e bağladı. Saldırganlar, web kabuklarını dağıtmak ve yanal hareket, keşif, kimlik bilgileri hırsızlığı ve veri sızıntısı gerçekleştirmek için internete bakan Microsoft Exchange sunucularına sızdı.
Ağustos ayında birkaç hafta boyunca gerçekleştirilen Sandman kampanyası, kötü amaçlı yazılımları yerleştirmek için DLL korsanlığını kullandı. ualapi.dll Aynı ada sahip meşru bir dosya gibi görünen dosya.
DLL ele geçirme, bilgisayar korsanlarının uygulamaların arama parametreleri içine kötü amaçlı DLL dosyaları yerleştirerek virüslü bilgisayarlara erişmesine olanak tanır. Uygulama yüklendiğinde kötü amaçlı DLL’yi etkinleştirerek bilgisayar korsanlarına kötü amaçlı işlemler gerçekleştirme fırsatı verir. Bu durumda, kötü amaçlı DLL dosyası başlatıldığında Faks veya Windows Biriktirici hizmeti tarafından etkinleştirilebilir.
Tehdit aktörleri aynı ağa bağlı belirli iş istasyonlarını hedeflemek için NTLM kimlik doğrulama protokolü üzerinden “karma aktarma” tekniğini de kullandı. Milenkoski, “Hedeflerden birinde, tüm iş istasyonları yönetici pozisyonundaki personele atandı.” dedi.