Компания SentinelLabs обнаружила новый кластер активности неизвестного угрожающего агента, который мы назвали Sandman.
- Sandman в основном атакует телекоммуникационных провайдеров на Ближнем Востоке, в Западной Европе и на Южно-Азиатском субконтиненте.
- Эта деятельность характеризуется стратегическими боковыми перемещениями и минимальным количеством боестолкновений, что, вероятно, минимизирует риск обнаружения.
- Sandman развернул новый модульный бэкдор, использующий платформу LuaJIT, что является относительно редким явлением в сфере угроз. SentinelLabs называем эту вредоносную программу LuaDream.
- Реализация LuaDream свидетельствует о наличии хорошо реализованного, поддерживаемого и активно разрабатываемого проекта значительного масштаба.
- На данный момент у SentinelLabs нет четкого представления об авторстве. Судя по всему, LuaDream не связан ни с одним из известных угрожающих субъектов. Хотя стиль разработки исторически ассоциируется с определенным типом агентов современных угроз, несоответствия между высокотехнологичной разработкой вредоносного ПО и слабой практикой сегментации наводят нас на мысль, что это может быть частный подрядчик или наемная группа, подобная Metador.
Indicators of Compromise
Domains
- mode.encagil.com
- ssl.explorecell.com
SHA1
- 1cd0a3dd6354a3d4a29226f5580f8a51ec3837d4
- 27894955aaf082a606337ebe29d263263be52154
- 5302c39764922f17e4bc14f589fa45408f8a5089
- 77e00e3067f23df10196412f231e80cec41c5253
- b9ea189e2420a29978e4dc73d8d2fd801f6a0db2
- fb1c6a23e8e0693194a365619b388b09155c2183
- ff2802cdbc40d2ef3585357b7e6947d42b875884