Песок сквозь сети: хакеры Sandman отбирают игрушки у телекомов Европы

Новая хакерская группировка Sandman атакует телекоммуникационных провайдеров на Ближнем Востоке, в Западной Европе и Южной Азии, используя модульное вредоносное ПО для кражи информации под названием LuaDream.

Вредоносную деятельность Sandman обнаружили специалисты SentinelLabs в сотрудничестве с QGroup GmbH в августе 2023 года. Эксперты дали название субъекту угрозы и вредоносному ПО на основе внутреннего названия «Клиент DreamLand» (DreamLand Client).

География атак Sandman

Sandman старается оставаться в тени, чтобы избежать обнаружения, выполняя боковое перемещение (Lateral Movement) и поддерживая долгосрочный доступ к целевым системам для максимизации своих кибершпионских операций.

SentinelOne сообщает, что Sandman сначала получает доступ к корпоративной сети с помощью украденных учетных данных администратора. После взлома сети Sandman использует атаки «Pass-the-Hash» для аутентификации на удаленных серверах.

По данным SentinelLabs, все рабочие станции, на которые нацеливались хакеры, принадлежали руководящему персоналу, что указывает на интерес злоумышленников к привилегированной или конфиденциальной информации. По словам специалистов, разработка ПО активна, и аналитики видели признаки тестирования, датируемые июнем 2022 года.

LuaDream — это модульное вредоносное ПО для кибершпионских операций. Вот некоторые из его ключевых возможностей и особенностей:

1. Модульная структура: LuaDream разработано так, чтобы легко добавлять и удалять функциональные модули. Это позволяет злоумышленникам настраивать вредоносное ПО в соответствии с конкретной целью или задачей.
2. Использование LuaJIT: LuaDream использует LuaJIT, just-in-time компилятор для языка программирования Lua. Это обеспечивает высокую производительность и гибкость вредоносного ПО.
3. Продвинутый процесс загрузки: LuaDream использует сложный семиступенчатый процесс загрузки в памяти для обхода систем обнаружения и предотвращения детектирования.
4. Анти-анализ: LuaDream включает в себя меры защиты от анализа, такие как скрытие потоков от отладчиков, обнаружение среды эмуляции Wine и использование XOR-шифрования для упаковки кода.
5. Множество компонентов: LuaDream состоит из 34 компонентов, включая 13 основных и 21 вспомогательных. Эти компоненты обеспечивают разнообразные функции, от сбора данных до управления плагинами и коммуникации с сервером управления.
6. Коммуникация с сервером управления: После инициализации LuaDream устанавливает связь с сервером управления и контроля (C2) через различные протоколы, такие как TCP, HTTPS, WebSocket или QUIC, и передает собранную информацию.
7. Специфические плагины: Злоумышленники могут развертывать конкретные плагины через LuaDream в каждой атаке. Например, модуль "cmd" предоставляет возможности выполнения команд на зараженном устройстве.

Такие возможности делают LuaDream мощным инструментом для кибершпионажа, позволяя злоумышленникам адаптироваться к различным ситуациям и эффективно собирать ценную информацию. Несмотря на то, что часть вредоносного ПО Sandman и его инфраструктура были раскрыты, происхождение группировки остается неизвестным.

Ранее мы писали, что два новых вида вредоносного ПО HTTPSnoop и PipeSnoop использовались в кибератаках на телекоммуникационные компании на Ближнем Востоке . Согласно отчету компании Cisco Talos, вредоносы принадлежат одному и тому же субъекту угроз, названному ShroudedSnooper, и служат различным операционным целям.