Группировка Sandman атакует телекомы модульной малварью LuaDream
Совместное расследование компаний
SentinelLabs и
QGroup GmbH обнаружило шпионскую кампанию неизвестной ранее группировки Sandman, направленную на поставщиков телекоммуникационных услуг на Ближнем Востоке, в Западной Европе и в субконтиненте Южной Азии. В своих атаках хакеры используют сложный модульный бэкдор, основанный на
Lua.
По данным исследователей, атаки группы обычно начинаются с того, что злоумышленники получают доступ к корпоративной сети, используя для этого украденные учетные данные администратора. После этого
Sandman применяет атаки типа pass-the-hash для аутентификации на удаленных серверах и в службах через повторное использование
NTLM-хэшей, хранящихся в памяти.
Так как в одном из изученных случаев все взломанные рабочие станции принадлежали
руководящему персоналу, эксперты считают, что это свидетельствует об интересе злоумышленников к секретной и
конфиденциальной информации.
Отмечается, что в своих атаках Sandman использует модульное вредоносное ПО
LuaDream, которое применяется для атак типа
DLL hijacking на целевые системы.
Малварь получила такое название благодаря использованию
JIT-компилятора LuaJIT, и исследователи отмечают, что это довольно редкое явление, равно как и использование языка Lua хакерами в целом. При этом подчеркивается, что хакеры лишь применяют
LuaJIT как средство для развертывания бэкдоров в целевых организациях.
