14 مهر 1403

قرارگاه جنبش انقلابیون (قجا)

قرارگاه امنیتی و سایبری جنبش انقلابیون جمهوری اسلامی ایران

تهدید بازیگر مرموز «Sandman» ارائه دهندگان مخابرات را در سه قاره هدف قرار می دهد

محققین SentinelLabs با همکاری QGroup GmbH، یک گزارشی در خصوص فعالیت‌های یک گروه APT ناشناخته بنام Sandman منتشر کردند که بخش مخابرات را در کشورهای مختلف از جمله ایران هدف قرار داده است. 

بازیگر تهدید از یک بکدور ماژولار جدید که مبتنی بر پلتفرم LuaJIT بوده و اسم آن را LuaDream گذاشتند، در این حملات استفاده کرده است.

پژوهشگران اشاره کرده اند که فعالیت این گروه با انجام حرکات جانبی استراتژیک و با کمترین درگیری انجام شده که نشان دهنده رویکرد هدفمند و در عین حال به حداقل رساندن شناسایی آنها بوده است. 

بکدور LuaDream نشان دهنده یک پروژه در حال توسعه است. این بکدور ماژولار دارای ویژگی‌های مهم زیر است:

1- جمع آوری اطلاعات سیستم و کاربران برای هموار کردن مسیر برای حملات دقیق‌تر

2- مدیریت پلاگین‌های ارائه شده توسط مهاجم برای این بکدور که ویژگی های آن را افزایش میدهد.

محققین گفتند اگرچه دسترسی مهاجم را قبل از اینکه بتواند پلاگین‌ها رو مستقر کند، قطع کردند، اما با نمونه‌هایی که در VT پیدا شده، توانایی نگاه اجمالی به این پلاگین‌ها پیدا کردند. 

پژوهشگران 36 مولفه و چندین پروتکل ارتباطی با C2، در این بکدور شناسایی کرده که نشان دهنده یک پروژه در مقیاس قابل توجه است.

استفاده از زنجیره مراحل برای استقرار بکدور، که در حافظه مستقر می‌شود، راهی برای فرار از تشخیص و شناسایی می باشد. برای پیاده سازی و این مرحله بندی، بکدور از LuaJIT استفاده نموده که یک کامپایلر just-in-time برای Lua می باشد و شناسایی اسکریپت‌های مخرب Lua را سخت‌تر می‌نماید. 

اینکه مهاجم از یک بدافزار پیچیده و فعالیتهای استراتژیک استفاده می‌کند، نشان دهنده یک بازیگر توانا و با انگیزه است. بر اساس TTPها ، قربانی‌ها و ویژگی بدافزار، این فعالیت‌ها به احتمال زیاد انگیزه جاسوسی دارد. سرویس‌های مخابراتی به دلیل اینکه داده‌های حساسی را دارند، بطور مکرر هدف فعالیت‌های جاسوسی قرار می‌گیرند.



“”قرارگاه جنبش انقلابیون(قجا)””

https://313-313.ir/