Một tác nhân đe dọa mới trước đây có tên là ‘Sandman’ nhắm mục tiêu vào các nhà cung cấp dịch vụ viễn thông ở Trung Đông, Tây Âu và Nam Á, bằng cách sử dụng phần mềm độc hại đánh cắp thông tin mô-đun có tên ‘LuaDream’.
Hoạt động độc hại này được SentinelLabs phát hiện với sự cộng tác của QGroup GmbH vào tháng 8 năm 2023. Họ đã đặt tên cho tác nhân đe dọa và phần mềm độc hại theo tên nội bộ của backdoor là ‘máy khách DreamLand’.
Phong cách hoạt động của Sandman là ẩn mình để tránh bị phát hiện trong khi thực hiện chuyển động ngang và duy trì quyền truy cập lâu dài vào các hệ thống bị vi phạm để tối đa hóa các hoạt động gián điệp mạng của mình.
Mục tiêu phổ biến
Tác nhân đe dọa Sandman nhắm vào các nhà cung cấp dịch vụ viễn thông ở các tiểu lục địa Trung Đông, Tây Âu và Nam Á.
SentinelOne cho biết tác nhân đe dọa trước tiên có quyền truy cập vào mạng công ty bằng cách sử dụng thông tin quản trị bị đánh cắp.
Sau khi mạng bị xâm phạm, người ta thấy Sandman sử dụng các cuộc tấn công “pass-the-hash” để xác thực với các máy chủ và dịch vụ từ xa bằng cách trích xuất và sử dụng lại các hàm băm NTLM được lưu trữ trong bộ nhớ.
Báo cáo của SentinelLabs giải thích rằng, trong một trường hợp, tất cả các máy trạm bị tin tặc nhắm đến đều được giao cho nhân viên quản lý, cho thấy kẻ tấn công quan tâm đến thông tin đặc quyền hoặc bí mật.
Phân bổ hoạt động của mục tiêu Sandman
Nguồn: SentinelLabs
Phần mềm độc hại LuaDream
Người ta thấy SandMan đang triển khai một phần mềm độc hại mô-đun mới có tên ‘LuaDream’ trong các cuộc tấn công bằng cách sử dụng quyền tấn công DLL trên các hệ thống mục tiêu. Phần mềm độc hại lấy tên từ việc sử dụng trình biên dịch đúng lúc LuaJIT cho ngôn ngữ tập lệnh Lua
Phần mềm độc hại được sử dụng để thu thập dữ liệu và quản lý các plugin mở rộng chức năng, được nhận từ máy chủ chỉ huy và kiểm soát (C2) và được thực thi cục bộ trên hệ thống bị xâm nhập.
Quá trình phát triển của phần mềm độc hại dường như đang hoạt động, với chuỗi phiên bản được truy xuất cho biết số phát hành “12.0.2.5.23.29” và các nhà phân tích đã thấy các dấu hiệu về nhật ký cũng như chức năng kiểm tra từ tháng 6 năm 2022.
Quá trình staging của LuaDream dựa trên quy trình bảy bước phức tạp trong bộ nhớ nhằm tránh bị phát hiện, được khởi tạo bởi dịch vụ Windows Fax hoặc Spooler, chạy tệp DLL độc hại.
Quá trình Sandman staging
Nguồn: SentinelLabs
SentinelLabs cho biết mốc thời gian trong các tệp DLL được sử dụng để chiếm quyền điều khiển lệnh rất gần với các cuộc tấn công, điều này có thể cho thấy chúng được tạo tùy chỉnh cho các cuộc xâm nhập cụ thể.
Các biện pháp chống phân tích trong quá trình dàn dựng bao gồm:
- Che giấu các chủ đề của LuaDream khỏi trình gỡ lỗi.
- Đóng tập tin với hoạt động không hợp lệ.
- Phát hiện môi trường sandbox dựa trên Wine.
- Tham chiếu trong bộ nhớ để tránh các hook API EDR và phát hiện dựa trên tệp.
- Đóng gói mã dàn dựng bằng mã hóa và nén dựa trên XOR.
LuaDream bao gồm 34 thành phần, với 13 thành phần lõi và 21 thành phần hỗ trợ, sử dụng mã byte LuaJIT và API Windows thông qua thư viện ffi.
Các thành phần cốt lõi xử lý các chức năng chính của phần mềm độc hại, như thu thập dữ liệu người dùng và hệ thống, kiểm soát plugin và liên lạc C2, trong khi các thành phần hỗ trợ xử lý các khía cạnh kỹ thuật, như cung cấp Lua libs và định nghĩa API Windows.
Các thành phần chính của phần mềm độc hại
(SentinelLabs)
Sau khi khởi tạo, LuaDream kết nối với máy chủ C2 (thông qua TCP, HTTPS, WebSocket hoặc QUIC) và gửi thông tin đã thu thập, bao gồm các phiên bản phần mềm độc hại, địa chỉ IP/MAC, chi tiết hệ điều hành, v.v.
Do những kẻ tấn công triển khai các plugin cụ thể thông qua LuaDream trong mỗi cuộc tấn công nên SentinelLabs không có danh sách đầy đủ tất cả các plugin có sẵn.
Tuy nhiên, báo cáo lưu ý một mô-đun có tên là “cmd”, tên của nó giúp cho kẻ tấn công biết nó có khả năng thực thi lệnh trên thiết bị bị xâm nhập.
Mặc dù một số phần mềm độc hại tùy chỉnh của Sandman và một phần cơ sở hạ tầng máy chủ C2 đã bị lộ nhưng nguồn gốc của tác nhân đe dọa vẫn chưa được giải đáp.
Sandman tham gia vào danh sách ngày càng tăng những kẻ tấn công tiên tiến nhắm vào các công ty viễn thông để làm gián điệp, sử dụng các backdoor tàng hình độc đáo khó phát hiện và ngăn chặn.
Các nhà cung cấp dịch vụ viễn thông là mục tiêu thường xuyên của các hoạt động gián điệp do tính chất nhạy cảm của dữ liệu họ quản lý.
Đầu tuần trước, SentinelLabs đã báo cáo về một nhóm hoạt động mới được theo dõi là ‘ShroudedSnooper’, sử dụng hai cửa hậu mới, HTTPSnoop và PipeSnoop, chống lại các nhà mạng viễn thông ở Trung Đông.
Nguồn: bleepingcomputer.com
Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn : https://www.john-partners.us/tin-tac-sandman-tan-cong-cac-cong-ty-vien-thong-bang-phan-mem-doc-hai-luadream-moi
