Телеком-провайдеров атакует загадочный Sandman, вооруженный Lua-бэкдором

Телеком-провайдеров атакует загадочный Sandman, вооруженный Lua-бэкдором

Телеком-провайдеров атакует загадочный Sandman, вооруженный Lua-бэкдором

В прошлом месяце в разных странах были зафиксированы атаки неизвестной ранее APT-группы. Мишенью во всех случаях являлись телеком-провайдеры, целью атак, по всей видимости, являлся шпионаж.

Проникнув в корпоративную сеть, злоумышленники, которых в SentinelOne нарекли Sandman, воруют админ-пароли, проводят разведку и взламывают заинтересовавшие их рабочие станции Windows, используя технику pass-the-hash. Внедряемый в системы модульный бэкдор нов и необычен: для его реализации используется компилятор LuaJIT.

Анализ показал, что вредонос, получивший кодовое имя LuaDream, качественно выполнен, получает поддержку и активно развивается. Метки времени компиляции и найденные в коде артефакты говорят о том, что Sandman начали готовиться к августовской кампании более года назад.

Процесс развертывания LuaDream в системе многоступенчатый, вредоносный код загружается непосредственно в память. В результате факт заражения может долго оставаться незамеченным.

 

Аналитики насчитали 13 основных компонентов бэкдора и 21 вспомогательный. Первостепенной задачей зловреда является эксфильтрация системных и пользовательских данных; он также осуществляет управление полученными плагинами, расширяющими его функциональность.

Для защиты от обнаружения и анализа вредоносу приданы различные антиотладочные средства. Для C2-коммуникаций вредонос устанавливает контакт с доменом mode.encagil[.]com, используя WebSocket. Дополнительные модули обеспечивают поддержку и других протоколов — TCP, HTTPS, QUIC.

Вредоносные программы на Lua очень редки, за последние десять лет было выявлено лишь несколько таких творений: шпион Flame, бэкдор Dino, тулкит Project Sauron, Linux-червь Shishiga. Исследователи не исключают, что LuaDream является вариантом зловреда DreamLand, упомянутого в отчете Kaspersky об APT-угрозах в I квартале 2023 года.

Каким образом Sandman получает первичный доступ к целевым сетям, не установлено. Атаки зафиксированы в Западной Европе, на Ближнем Востоке и в Южной Азии.

Зарплаты и пенсии не загонят в цифровой рубль, заявила Набиуллина

Глава Банка России Эльвира Набиуллина попыталась сбить градус паники вокруг цифрового рубля. По её словам, страшилки о том, что всех бюджетников и пенсионеров якобы переведут на новую форму денег принудительно, — это абсурд.

В разговоре с журналисткой Наилей Аскер-заде на полях Финансового конгресса ЦБ в Санкт-Петербурге Набиуллина признала, что вокруг цифрового рубля действительно много мифов. Но, по её словам, так бывает почти с любой новой финансовой технологией.

Глава ЦБ напомнила, что похожие опасения когда-то возникали вокруг карт «Мир» и Системы быстрых платежей. Сейчас, как отметила Набиуллина, люди уже активно пользуются этими инструментами и ценят их удобство.

Главный тезис регулятора — цифровой рубль не должен стать обязаловкой. Пользователь сможет сам выбрать, в какой форме получать деньги: наличными, на обычный банковский счёт или в цифровых рублях.

«У вас будет выбор пользоваться или не пользоваться цифровым рублём», — подчеркнула Набиуллина.

По её словам, у Банка России нет задачи просто насыпать побольше цифровых рублей в экономику ради красивой статистики. Новый инструмент должен применяться там, где он действительно будет востребован.

ЦБ видит потенциал цифрового рубля прежде всего в расчетах бизнеса и международных платежах. При этом регулятор хочет сделать инструмент понятным, удобным и выгодным как для граждан, так и для компаний.

RSS: Новости на портале Anti-Malware.ru