محققین SentinelLabs با همکاری QGroup GmbH، یک گزارشی در خصوص فعالیتهای یک گروه APT ناشناخته بنام Sandman منتشر کردند که بخش مخابرات را در کشورهای مختلف از جمله ایران هدف قرار داده است.
بازیگر تهدید از یک بکدور ماژولار جدید که مبتنی بر پلتفرم LuaJIT بوده و اسم آن را LuaDream گذاشتند، در این حملات استفاده کرده است.
پژوهشگران اشاره کرده اند که فعالیت این گروه با انجام حرکات جانبی استراتژیک و با کمترین درگیری انجام شده که نشان دهنده رویکرد هدفمند و در عین حال به حداقل رساندن شناسایی آنها بوده است.
بکدور LuaDream نشان دهنده یک پروژه در حال توسعه است. این بکدور ماژولار دارای ویژگیهای مهم زیر است:
1- جمع آوری اطلاعات سیستم و کاربران برای هموار کردن مسیر برای حملات دقیقتر
2- مدیریت پلاگینهای ارائه شده توسط مهاجم برای این بکدور که ویژگی های آن را افزایش میدهد.
محققین گفتند اگرچه دسترسی مهاجم را قبل از اینکه بتواند پلاگینها رو مستقر کند، قطع کردند، اما با نمونههایی که در VT پیدا شده، توانایی نگاه اجمالی به این پلاگینها پیدا کردند.
پژوهشگران 36 مولفه و چندین پروتکل ارتباطی با C2، در این بکدور شناسایی کرده که نشان دهنده یک پروژه در مقیاس قابل توجه است.
استفاده از زنجیره مراحل برای استقرار بکدور، که در حافظه مستقر میشود، راهی برای فرار از تشخیص و شناسایی می باشد. برای پیاده سازی و این مرحله بندی، بکدور از LuaJIT استفاده نموده که یک کامپایلر just-in-time برای Lua می باشد و شناسایی اسکریپتهای مخرب Lua را سختتر مینماید.
اینکه مهاجم از یک بدافزار پیچیده و فعالیتهای استراتژیک استفاده میکند، نشان دهنده یک بازیگر توانا و با انگیزه است. بر اساس TTPها ، قربانیها و ویژگی بدافزار، این فعالیتها به احتمال زیاد انگیزه جاسوسی دارد. سرویسهای مخابراتی به دلیل اینکه دادههای حساسی را دارند، بطور مکرر هدف فعالیتهای جاسوسی قرار میگیرند.
“
“”قرارگاه جنبش انقلابیون(قجا)””
“
https://313-313.ir/
مطالب برتر
چگونه SMBها میتوانند خطر حملات سایبری و نقض دادهها را کاهش دهند
فناوری آموزشی EdTech
3 ابزار برتر امنیت سایبری برای محافظت از دادههای کسب و کار