Телеком-провайдеров атакует загадочный Sandman, вооруженный Lua-бэкдором
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Телеком-провайдеров атакует загадочный Sandman, вооруженный Lua-бэкдором

Татьяна Никитина 22 Сентября 2023 - 20:20
...
Телеком-провайдеров атакует загадочный Sandman, вооруженный Lua-бэкдором

В прошлом месяце в разных странах были зафиксированы атаки неизвестной ранее APT-группы. Мишенью во всех случаях являлись телеком-провайдеры, целью атак, по всей видимости, являлся шпионаж.

Проникнув в корпоративную сеть, злоумышленники, которых в SentinelOne нарекли Sandman, воруют админ-пароли, проводят разведку и взламывают заинтересовавшие их рабочие станции Windows, используя технику pass-the-hash. Внедряемый в системы модульный бэкдор нов и необычен: для его реализации используется компилятор LuaJIT.

Анализ показал, что вредонос, получивший кодовое имя LuaDream, качественно выполнен, получает поддержку и активно развивается. Метки времени компиляции и найденные в коде артефакты говорят о том, что Sandman начали готовиться к августовской кампании более года назад.

Процесс развертывания LuaDream в системе многоступенчатый, вредоносный код загружается непосредственно в память. В результате факт заражения может долго оставаться незамеченным.

 

Аналитики насчитали 13 основных компонентов бэкдора и 21 вспомогательный. Первостепенной задачей зловреда является эксфильтрация системных и пользовательских данных; он также осуществляет управление полученными плагинами, расширяющими его функциональность.

Для защиты от обнаружения и анализа вредоносу приданы различные антиотладочные средства. Для C2-коммуникаций вредонос устанавливает контакт с доменом mode.encagil[.]com, используя WebSocket. Дополнительные модули обеспечивают поддержку и других протоколов — TCP, HTTPS, QUIC.

Вредоносные программы на Lua очень редки, за последние десять лет было выявлено лишь несколько таких творений: шпион Flame, бэкдор Dino, тулкит Project Sauron, Linux-червь Shishiga. Исследователи не исключают, что LuaDream является вариантом зловреда DreamLand, упомянутого в отчете Kaspersky об APT-угрозах в I квартале 2023 года.

Каким образом Sandman получает первичный доступ к целевым сетям, не установлено. Атаки зафиксированы в Западной Европе, на Ближнем Востоке и в Южной Азии.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники выдают себя за силовиков и «проверяют купюры» у граждан
Екатерина Быстрова 30 Октября 2025 - 08:52
Мошенничество Домашние пользователи
Мошенники выдают себя за силовиков и «проверяют купюры» у граждан

Мошенники придумали новую легенду, чтобы выманивать деньги у граждан. Теперь они представляются сотрудниками правоохранительных органов и убеждают «проверить подлинность купюр» — якобы по поручению следователя или в рамках «дистанционного обыска».

В киберполиции объясняют: никакого «дистанционного обыска» в законах не существует.

Изъятие денег возможно только при личном участии следователя, понятых и оформлении официальных документов. Поэтому любые просьбы передать наличные курьеру, спрятать их в книгу или «отдать на проверку» — верный признак мошенничества.

Правоохранители призывают быть особенно внимательными к фразам вроде «декларирование средств», «проверка купюр» или «дистанционный обыск». Если в разговоре звучат такие слова, лучше сразу прервать звонок и сообщить о нём в полицию.

Напомним, на днях мы писали, что мошенники придумали очередной способ выманить деньги у россиян: жертвам звонят под предлогом «возврата ошибочного перевода».

На этой неделе мы также сообщали о схеме обмана съёмщиков квартир: аферисты представляются собственниками квартир и просят арендаторов перевести деньги за жильё «по новым реквизитам».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В России распространяется новая лотерейная схема с признаками пирамиды
Новость
В России распространяется новая лотерейная схема с признакам...
Обновление Chrome закрывает критический баг в ServiceWorker и Mojo
Новость
Обновление Chrome закрывает критический баг в ServiceWorker...
Нового трояна-полиморфика раскусили лишь два антивируса на VirusTotal
Новость
Нового трояна-полиморфика раскусили лишь два антивируса на V...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.