Телеком-провайдеров атакует загадочный Sandman, вооруженный Lua-бэкдором

Татьяна Никитина 22 Сентября 2023 - 20:20

...

Телеком-провайдеров атакует загадочный Sandman, вооруженный Lua-бэкдором

В прошлом месяце в разных странах были зафиксированы атаки неизвестной ранее APT-группы. Мишенью во всех случаях являлись телеком-провайдеры, целью атак, по всей видимости, являлся шпионаж.

Проникнув в корпоративную сеть, злоумышленники, которых в SentinelOne нарекли Sandman, воруют админ-пароли, проводят разведку и взламывают заинтересовавшие их рабочие станции Windows, используя технику pass-the-hash. Внедряемый в системы модульный бэкдор нов и необычен: для его реализации используется компилятор LuaJIT.

Анализ показал, что вредонос, получивший кодовое имя LuaDream, качественно выполнен, получает поддержку и активно развивается. Метки времени компиляции и найденные в коде артефакты говорят о том, что Sandman начали готовиться к августовской кампании более года назад.

Процесс развертывания LuaDream в системе многоступенчатый, вредоносный код загружается непосредственно в память. В результате факт заражения может долго оставаться незамеченным.

Аналитики насчитали 13 основных компонентов бэкдора и 21 вспомогательный. Первостепенной задачей зловреда является эксфильтрация системных и пользовательских данных; он также осуществляет управление полученными плагинами, расширяющими его функциональность.

Для защиты от обнаружения и анализа вредоносу приданы различные антиотладочные средства. Для C2-коммуникаций вредонос устанавливает контакт с доменом mode.encagil[.]com, используя WebSocket. Дополнительные модули обеспечивают поддержку и других протоколов — TCP, HTTPS, QUIC.

Вредоносные программы на Lua очень редки, за последние десять лет было выявлено лишь несколько таких творений: шпион Flame, бэкдор Dino, тулкит Project Sauron, Linux-червь Shishiga. Исследователи не исключают, что LuaDream является вариантом зловреда DreamLand, упомянутого в отчете Kaspersky об APT-угрозах в I квартале 2023 года.

Каким образом Sandman получает первичный доступ к целевым сетям, не установлено. Атаки зафиксированы в Западной Европе, на Ближнем Востоке и в Южной Азии.

Следующая главная новость »

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »

Яков Шпунт 29 Декабря 2025 - 17:34

Сбои программ Общее

ВТБ заявил о нормализации работы онлайн-сервисов

Банк ВТБ сообщил об устранении неполадок в работе сервиса «ВТБ Онлайн». Это произошло примерно через два часа после резкого всплеска жалоб пользователей на работу цифровых сервисов банка.

О нормализации работы сообщил ТАСС со ссылкой на пресс-службу ВТБ. Проблемы с онлайн-сервисами и карточными платежами начались около 13:00 по московскому времени и продолжались порядка двух часов.

«Сегодня днем часть наших клиентов могла столкнуться с ограничениями в работе “ВТБ Онлайн”, а также банкоматов и банковских карт. В настоящий момент все системы работают штатно, неполадки устранены. В ближайшее время по отклоненным операциям пользователям автоматически будут возвращены средства», — говорится в сообщении пресс-службы банка.

В ВТБ также принесли извинения за доставленные неудобства и отметили, что технические службы банка работают над тем, чтобы возможные сбои устранялись максимально оперативно. О причинах и характере произошедших проблем в банке не сообщили.

Ранее сервисы мониторинга фиксировали сообщения о сбоях в работе Сбербанка, Т-Банка и системы «Честный знак». Однако пресс-службы Сбербанка и Т-Банка опровергли информацию о проблемах в своих сервисах.

«Система маркировки работает стабильно. Актуальная информация о функционировании системы публикуется в открытом доступе на сайте Честныйзнак.рф в разделе “Пульс маркировки” — там можно самостоятельно отслеживать показатели и убедиться, что все процессы идут штатно», — сообщили в пресс-службе компании «Центр развития перспективных технологий», оператора системы «Честный знак».

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »