Сети телекомов стали полигоном для хакеров Sandman и инфостилера LuaDream

[Artifact]

Неизвестные ранее хакеры разработали скрытный инфостилер, дающий полную свободу действий.
Новая хакерская группировка Sandman атакует телекоммуникационных провайдеров на Ближнем Востоке, в Западной Европе и Южной Азии, используя модульное вредоносное ПО для кражи информации под названием LuaDream.
Вредоносную деятельность Sandman обнаружили специалисты SentinelLabs в сотрудничестве с QGroup GmbH в августе 2023 года. Эксперты дали название субъекту угрозы и вредоносному ПО на основе внутреннего названия «Клиент DreamLand» (DreamLand Client).

География атак Sandman
Sandman старается оставаться в тени, чтобы избежать обнаружения, выполняя боковое перемещение (Lateral Movement) и поддерживая долгосрочный доступ к целевым системам для максимизации своих кибершпионских операций.
SentinelOne сообщает, что Sandman сначала получает доступ к корпоративной сети с помощью украденных учетных данных администратора. После взлома сети Sandman использует атаки «Pass-the-Hash» для аутентификации на удаленных серверах.
По данным SentinelLabs, все рабочие станции, на которые нацеливались хакеры, принадлежали руководящему персоналу, что указывает на интерес злоумышленников к привилегированной или конфиденциальной информации. По словам специалистов, разработка ПО активна, и аналитики видели признаки тестирования, датируемые июнем 2022 года.
LuaDream — это модульное вредоносное ПО для кибершпионских операций. Вот некоторые из его ключевых возможностей и особенностей:

• Модульная структура: LuaDream разработано так, чтобы легко добавлять и удалять функциональные модули. Это позволяет злоумышленникам настраивать вредоносное ПО в соответствии с конкретной целью или задачей.

• Использование LuaJIT: LuaDream использует LuaJIT, just-in-time компилятор для языка программирования Lua. Это обеспечивает высокую производительность и гибкость вредоносного ПО.

• Продвинутый процесс загрузки: LuaDream использует сложный семиступенчатый процесс загрузки в памяти для обхода систем обнаружения и предотвращения детектирования.

• Анти-анализ: LuaDream включает в себя меры защиты от анализа, такие как скрытие потоков от отладчиков, обнаружение среды эмуляции Wine и использование XOR-шифрования для упаковки кода.

• Множество компонентов: LuaDream состоит из 34 компонентов, включая 13 основных и 21 вспомогательных. Эти компоненты обеспечивают разнообразные функции, от сбора данных до управления плагинами и коммуникации с сервером управления.

• Коммуникация с сервером управления: После инициализации LuaDream устанавливает связь с сервером управления и контроля (C2) через различные протоколы, такие как TCP, HTTPS, WebSocket или QUIC, и передает собранную информацию.

• Специфические плагины: Злоумышленники могут развертывать конкретные плагины через LuaDream в каждой атаке. Например, модуль "cmd" предоставляет возможности выполнения команд на зараженном устройстве.

Такие возможности делают LuaDream мощным инструментом для кибершпионажа, позволяя злоумышленникам адаптироваться к различным ситуациям и эффективно собирать ценную информацию. Несмотря на то, что часть вредоносного ПО Sandman и его инфраструктура были раскрыты, происхождение группировки остается неизвестным.