Sandman hackers target telecom companies with LuaDream malware

Μια ομάδα από hackers, στην οποία δόθηκε το όνομα “Sandman“, στοχεύει telecommunications companies στη Μέση Ανατολή, τη Δυτική Ευρώπη και τη Νότια Ασία, χρησιμοποιώντας ένα νέο modular malware κλοπής πληροφοριών, με το όνομα “LuaDream“.

The attacks were discovered by SentinelLabs σε συνεργασία με την QGroup GmbH τον Αύγουστο του 2023.

Οι Sandman προσπαθούν να διατηρούν χαμηλό προφίλ για να αποφύγουν τον εντοπισμό, ενώ κινούνται μέσα στα παραβιασμένα δίκτυα και διατηρούν μακροχρόνια πρόσβαση, ώστε να έχουν περισσότερο χρόνο να κατασκοπεύσουν και να κλέψουν δεδομένα.

See also: Donut ransomware group claims to have attacked Agilitas

Οι Sandman hackers στοχεύουν εταιρείες τηλεπικοινωνιών

Οι Sandman hackers στοχεύουν τους παρόχους τηλεπικοινωνιών, αποκτώντας πρόσβαση σε ένα εταιρικό δίκτυο με κλεμμένα administrative credentials.

Μόλις παραβιαστεί το δίκτυο, οι Sandman χρησιμοποιούν επιθέσεις “pass-the-hash” για έλεγχο ταυτότητας σε απομακρυσμένους διακομιστές και υπηρεσίες, εξάγοντας και επαναχρησιμοποιώντας NTLM hashes, που είναι αποθηκευμένα στη μνήμη.

Σύμφωνα με την αναφορά της SentinelLabs, υπήρχε περίπτωση που όλοι οι σταθμοί εργασίας που στοχοποιήθηκαν από τους hackers σχετίζονταν με διευθυντικό προσωπικό. Αυτό δείχνει το ενδιαφέρον των hackers για σημαντικές και εμπιστευτικές πληροφορίες.

LuaDream malware

Οι SandMan hackers χρησιμοποιούν το malware “LuaDream” σε επιθέσεις που χρησιμοποιούν DLL hijacking σε στοχευμένα συστήματα.

Το κακόβουλο λογισμικό χρησιμοποιείται για τη συλλογή δεδομένων και τη διαχείριση plugins που επεκτείνουν τη λειτουργικότητά του. Αυτά λαμβάνονται από τον command and control server (C2) και εκτελούνται τοπικά στο παραβιασμένο σύστημα.

See also: Which scams were most popular in the first months of 2023?

Οι ερευνητές πιστεύουν ότι το malware βρίσκεται υπό ανάπτυξη.

Το staging του LuaDream βασίζεται σε ένα in-memory process επτά βημάτων με στόχο την αποφυγή ανίχνευσης, που ξεκινά είτε από την υπηρεσία Windows Fax είτε από την υπηρεσία Spooler, η οποία εκτελεί το κακόβουλο αρχείο DLL.

Τα μέτρα κατά της ανάλυσης στο staging process περιλαμβάνουν:

• Απόκρυψη των threads του LuaDream από προγράμματα εντοπισμού σφαλμάτων.
• Κλείσιμο αρχείων με invalid handle.
• Ανίχνευση Wine-based sandbox environments.
• In-memory mapping για αποφυγή EDR API hooks και ανιχνεύσεων που βασίζονται σε αρχεία.
• Packing του staging code με XOR-based encryption.

Το LuaDream αποτελείται από 34 components, που χρησιμοποιούν το LuaJIT bytecode και το Windows API μέσω του ffi library.

Το LuaDream συνδέεται σε έναν C2 server (μέσω TCP, HTTPS, WebSocket ή QUIC) και στέλνει συλλεγμένες πληροφορίες, συμπεριλαμβανομένων εκδόσεων κακόβουλου λογισμικού, διευθύνσεων IP/MAC, λεπτομερειών λειτουργικού συστήματος κ.λπ.

See also: The P2PInfect botnet is experiencing a period of high activity

Λόγω του ότι οι εισβολείς αναπτύσσουν συγκεκριμένα plugins μέσω του LuaDream σε κάθε επίθεση, η SentinelLabs δεν διαθέτει μια εκτεταμένη λίστα με όλα τα διαθέσιμα plugins.

Ωστόσο, εντοπίστηκε ένα module με το όνομα “cmd“, το οποίο δίνει στους επιτιθέμενους τη δυνατότητα εκτέλεσης εντολών στη συσκευή που έχει παραβιαστεί.

Ενώ ορισμένα από τα custom malware των Sandman hackers και μέρος της υποδομής του διακομιστή C2 έχουν εκτεθεί, η προέλευση του παράγοντα απειλής παραμένει άγνωστη.

Δεν είναι λίγοι οι hackers που στοχεύουν εταιρείες τηλεπικοινωνιών για κατασκοπεία. Οι εταιρείες τηλεπικοινωνιών αποτελούν συχνό στόχο, επειδή έχουν πρόσβαση σε πληροφορίες που είναι κρίσιμες για την υποστήριξη των ψηφιακών υποδομών και των υπηρεσιών μιας χώρας. Είναι σημαντικό για τις εταιρείες να ενισχύσουν την ασφάλεια τους, εντείνοντας τα μέτρα προστασίας και την ανίχνευση απειλών, καθώς και να εκπαιδεύσουν το προσωπικό τους ώστε να αναγνωρίζουν και να αντιδρούν σε επιθέσεις.

Source : www.bleepingcomputer.com