bencede
New member
Sentinel Labs’tan Dr. Aleksandar Milenkoski, Labs Con konferansındaki sunumunun bir parçası olarak, Lua Dream adlı kötü amaçlı yazılımı bu kadar olağanüstü kılan şeyin ne olduğunu açıklıyor: Milenkoski, Haberler Security ile yaptığı röportajda “Kötü amaçlı yazılımın tasarımı kalabalığın arasından sıyrılıyor” dedi. . APT (Advanced Persistent Threat) gruplarının kullandığı kötü amaçlı yazılımların bilgisayar oyunlarında ara katman yazılımı olarak sıklıkla kullanılan LuaJIT platformunu temel alması oldukça nadirdir. Sentinel Labs’e göre Lua Dream arka kapı bileşeni, Lua JIT (Tam Zamanında) bayt kodu olarak programlanıyor ve Lua FFI kitaplığını kullanarak gerekli Windows API’leriyle iletişim kuruyor.
Duyuru
Milenkoski’ye göre arka kapı, sistem ve kullanıcı bilgileri gibi verileri toplamak, TCP, HTTPS, WebSocket veya QUIC ve diğer modüller aracılığıyla kontrol sunucularıyla (ssl.explorecell.com ve mode.encagil.com) iletişim kurmak için gereken kodu içeriyor. şarj etmek için. Milenkoski, “Lua platformu bu modülerliğe izin veriyor” diyor. Ek olarak, tam zamanında derleyici, kötü amaçlı yazılım çalışırken doğrudan belleğe yazılan Lua komut dosyası kodunun tespit edilmesini zorlaştırır.
Eksik kit bulundu
Sentinel Labs, Qgroup GmbH ile birlikte Orta Doğu, Batı Avrupa ve Güney Asya’daki çeşitli telekomünikasyon sağlayıcılarının ağlarında 34 alt bileşenden oluşan kötü amaçlı yazılımın izini sürdü. Şu anda diğer kurbanlarda tespit edilemeyen enfeksiyonların olduğu varsayılabilir. Şirketlere yönelik saldırıların amacı şu an için belirsiz. Antivirüs araştırmacıları failleri iş üstünde yakalayıp erişimlerini engelledikten sonra, kötü amaçlı yazılım örneklerinde Lua Dream’in tüm parçaları bulunamadı.
Milenkoski’ye göre kodda, arka kapının gerektiğinde yeniden yüklediği ve uzaktan komutları yürütmek gibi özellikleri içerecek şekilde işlev aralığını genişlettiği eklentilere referanslar var. Ancak araştırmacılar henüz bu uzantılarla karşılaşmadı. Kötü amaçlı yazılımın virüslü bilgisayarlara nasıl bulaştığı bile bilinmiyor. Ancak Sentinel Labs’a göre saldırganların, hizmet manipülasyonu nedeniyle bir uyarıyı önlemek için Lua Dream’i yüklemek için gereken Windows hizmetlerini kendilerinin yeniden başlatmadığını belirtmek ilginçtir. Bunun yerine, virüs bulaşan bilgisayarın yeniden başlatılmasını beklediler.
Yol Asya’ya çıkıyor
Şu ana kadar Lua Dream kullanılarak gerçekleştirilen saldırıların arkasında kimin olduğu konusunda yalnızca spekülasyon yapabiliyoruz. Kaspersky, ilk kez bir bahar raporunda Pakistan’da keşfedilen parazitin bir çeşidinden “Dream Land” olarak bahsetti, ancak bunu herhangi bir gruba atfetmedi. Sentinel Labs artık gruba APT Sandman adını verdi.
Milenkoski’ye göre, nispeten karmaşık kötü amaçlı yazılım ile operatörlerin bunu ele alma şekli arasında bir tutarsızlık var: coğrafi olarak uzaktaki virüslü birkaç uç nokta aynı kontrol sunucusuyla iletişim kuruyor. Bu segmentasyon eksikliği, virüs bulaşmış ağlar üzerinde kontrolün kötü amaçlı yazılım yazarları tarafından değil, paralı askerler tarafından uygulandığını gösteriyor olabilir.
Başka bir kaynak, Lua Dream’in, Lua Dream’in kontrol sunucularıyla iletişim kurmak için aynı protokolleri kullanan Asyalı bir APT grubuna ait kötü amaçlı yazılımların eş zamanlı olarak bulaştığı bilgisayarlarda bulunduğunu bildirdi. Lua Dream’in arkasında gerçekten bir Asya hizmeti olsaydı, bu alışılmadık bir durum olurdu; çünkü son on yılda keşfedilen Flame, Project Sauron veya Evil Bunny gibi Lua ile programlanan kötü amaçlı yazılımların tümü Batı veya Batı ile ilgili hizmetlere atfediliyor.
(İtibaren)
Haberin Sonu
Duyuru
Milenkoski’ye göre arka kapı, sistem ve kullanıcı bilgileri gibi verileri toplamak, TCP, HTTPS, WebSocket veya QUIC ve diğer modüller aracılığıyla kontrol sunucularıyla (ssl.explorecell.com ve mode.encagil.com) iletişim kurmak için gereken kodu içeriyor. şarj etmek için. Milenkoski, “Lua platformu bu modülerliğe izin veriyor” diyor. Ek olarak, tam zamanında derleyici, kötü amaçlı yazılım çalışırken doğrudan belleğe yazılan Lua komut dosyası kodunun tespit edilmesini zorlaştırır.
Eksik kit bulundu
Sentinel Labs, Qgroup GmbH ile birlikte Orta Doğu, Batı Avrupa ve Güney Asya’daki çeşitli telekomünikasyon sağlayıcılarının ağlarında 34 alt bileşenden oluşan kötü amaçlı yazılımın izini sürdü. Şu anda diğer kurbanlarda tespit edilemeyen enfeksiyonların olduğu varsayılabilir. Şirketlere yönelik saldırıların amacı şu an için belirsiz. Antivirüs araştırmacıları failleri iş üstünde yakalayıp erişimlerini engelledikten sonra, kötü amaçlı yazılım örneklerinde Lua Dream’in tüm parçaları bulunamadı.
Milenkoski’ye göre kodda, arka kapının gerektiğinde yeniden yüklediği ve uzaktan komutları yürütmek gibi özellikleri içerecek şekilde işlev aralığını genişlettiği eklentilere referanslar var. Ancak araştırmacılar henüz bu uzantılarla karşılaşmadı. Kötü amaçlı yazılımın virüslü bilgisayarlara nasıl bulaştığı bile bilinmiyor. Ancak Sentinel Labs’a göre saldırganların, hizmet manipülasyonu nedeniyle bir uyarıyı önlemek için Lua Dream’i yüklemek için gereken Windows hizmetlerini kendilerinin yeniden başlatmadığını belirtmek ilginçtir. Bunun yerine, virüs bulaşan bilgisayarın yeniden başlatılmasını beklediler.
Yol Asya’ya çıkıyor
Şu ana kadar Lua Dream kullanılarak gerçekleştirilen saldırıların arkasında kimin olduğu konusunda yalnızca spekülasyon yapabiliyoruz. Kaspersky, ilk kez bir bahar raporunda Pakistan’da keşfedilen parazitin bir çeşidinden “Dream Land” olarak bahsetti, ancak bunu herhangi bir gruba atfetmedi. Sentinel Labs artık gruba APT Sandman adını verdi.
Milenkoski’ye göre, nispeten karmaşık kötü amaçlı yazılım ile operatörlerin bunu ele alma şekli arasında bir tutarsızlık var: coğrafi olarak uzaktaki virüslü birkaç uç nokta aynı kontrol sunucusuyla iletişim kuruyor. Bu segmentasyon eksikliği, virüs bulaşmış ağlar üzerinde kontrolün kötü amaçlı yazılım yazarları tarafından değil, paralı askerler tarafından uygulandığını gösteriyor olabilir.
Başka bir kaynak, Lua Dream’in, Lua Dream’in kontrol sunucularıyla iletişim kurmak için aynı protokolleri kullanan Asyalı bir APT grubuna ait kötü amaçlı yazılımların eş zamanlı olarak bulaştığı bilgisayarlarda bulunduğunu bildirdi. Lua Dream’in arkasında gerçekten bir Asya hizmeti olsaydı, bu alışılmadık bir durum olurdu; çünkü son on yılda keşfedilen Flame, Project Sauron veya Evil Bunny gibi Lua ile programlanan kötü amaçlı yazılımların tümü Batı veya Batı ile ilgili hizmetlere atfediliyor.
(İtibaren)
Haberin Sonu