新的网络威胁：针对电信公司的隐秘行动

关键要点

• 一个未知的威胁组织针对欧洲、中东和亚洲的多家电信公司，使用了一种新型后门恶意软件。
• 该组织被称为Sandman，可能是一个从事间谍活动的私人承包商或佣兵组织。
• Sandman采用复杂的恶意软件和策略，以避开检测并进行横向移动。
• 新型后门恶意软件LuaDream基于LuaJIT平台，具有高隐蔽性和复杂性。

最近，一个之前未知的威胁组织针对多个电信公司展开了攻击，范围覆盖了欧洲、中东和亚洲。研究人员怀疑，该组织可能是专注于间谍活动的私人承包商或佣兵组织，旨在收集电信公司掌握的敏感数据。

这股被称为Sandman的高级持续威胁（APT）行为者，通过战略性地在目标工作站间进行横向移动，并以最小的参与度来避免检测。根据SentinelLabs在9月21日发布的，Sandman在其活动中展现出相当的精确性和高效性。

此外，SentinelLabs与QGroup在8月份的合作中对Sandman进行了详细观察。他们指出，该组织的“集中和以策略驱动的活动，以及复杂恶意软件的使用，表明了一个动机强烈且能力出众的对手。”SentinelLabs的高级威胁研究员阿列克萨ンダ尔·米连科斯基（AleksandarMilenkoski）在资料中写道。

新型模块化后门恶意软件LuaDream，基于，使得其恶意Lua脚本代码的检测非常困难。米连科斯基表示：“LuaJIT通常用于游戏和特殊嵌入式应用程序中的脚本中间件，但在APT恶意软件的背景下很少见使用，然而其用户群体正在逐步扩大。”

隐秘性和复杂性暗示间谍活动

米连科斯基将LuaDream描述为“一个在积极开发中的有版本管理的项目”。该后门的主要功能是窃取系统和用户信息，为进一步的精准攻击铺平道路，并管理扩展其能力的额外Sandman插件。

他表示：“LuaDream的分发链旨在避开检测并阻碍分析，同时将恶意软件直接部署到内存中。”他进一步提到，“我们识别出的36个不同的LuaDream组件，以及对多种C2（指挥与控制）通信协议的支持，表明了该项目的规模相当可观。”

SentinelLabs与QGroup观察到的活动，以及他们审查的C2流量数据，表明Sandman目标是广泛的电信公司，范围包括中东、西欧和南亚次大陆。

米连科斯基总结说：“LuaDream充分展示了网络间谍威胁行为者在其不断演变的恶意软件武器库中所付出的持续创新和进步努力。”他表示：“虽然我们无法将LuaDream与任何已知的威胁行为者关联，但我们倾向于将其视为一个私人承包商或佣兵组织。”

Sandman和LuaDream的神秘性质使得这个APT组织与其他许多处于同一类别，其中包括，这是SentinelLabs在12个月前发现的，后者也曾攻击电信公司。

电信公司仍然是APT的主要目标

2023年伊始，电信公司就遭遇了。就在本周早些时候，思科Talos披露了一种新型恶意软件家族，称其为HTTPSnoop，该软件已在中东的电信公司中展开攻击。

思科Talos的研究员在9月19日的