Microsoft: Mystery Group, der målretter teleselskaber, der er knyttet til kinesiske APT'er

Almindelig malware har fået en gruppe forskere til at forbinde den engang mystiske Sandman-trusselsgruppe, kendt for cyberangreb mod telekommunikationstjenesteudbydere over hele verden, til et voksende net af kinesiske regeringsstøttede avancerede persistente trusler (APT) grupper.

trusselsefterretningsvurdering er resultatet af et samarbejde mellem Microsoft, SentinelLabs og PwC, og giver blot et lille indblik i den generelle kompleksitet og bredde i kinesisk APT trussellandskab ifølge forskerne.

Sandman blev først identificeret i august efter en række af cyberangreb på teleselskaber på tværs af Mellemøsten, Vesteuropa og Sydasien, som især brugte en bagdør kaldet "LuaDream" baseret på Lua-programmeringssproget, samt en bagdør kaldet "Keyplug", implementeret i C++.

SentinelOne sagde dog, at dets analytikere ikke var i stand til at identificere trusselsgruppens oprindelse - indtil nu.

"De prøver, som vi analyserede, deler ikke ligefremme indikatorer, der med sikkerhed ville klassificere dem som nært beslægtede eller stammende fra samme kilde, såsom brug af identiske krypteringsnøgler eller direkte overlapninger i implementeringen," fandt den nye forskning. "Men vi observerede indikatorer for delt udviklingspraksis og nogle overlapninger i funktionaliteter og design, hvilket tyder på fælles funktionelle krav fra operatørerne. Dette er ikke ualmindeligt i det kinesiske malwarelandskab."

Den nye rapport siger, at Lua-udviklingspraksis, såvel som vedtagelse af Keyplug-bagdøren, ser ud til at være blevet delt med den kinesisk-baserede trusselaktør STORM-08/Red Dev 40, der ligeledes er kendt for at målrette teleselskaber i Mellemøsten og Sydasien.

Kinesiske APT Links

Rapporten tilføjede, at et Mandiant-hold først rapporterede Keyplug bagdør bliver brugt ved kendt kinesisk gruppe APT41 tilbage i marts 2022. Derudover fandt Microsoft- og PwC-teams ud af, at Keyplug-bagdøren blev sendt rundt om flere yderligere kinesisk-baserede trusselsgrupper, tilføjede rapporten.

Den seneste Keyplug malware giver gruppen en ny fordel, ifølge forskerne, med nye obfuskeringsværktøjer.

"De adskiller STORM-0866/Red Dev 40 fra de andre klynger baseret på specifikke malware-karakteristika, såsom unikke krypteringsnøgler til KEYPLUG-kommando-og-kontrol-kommunikation (C2) og en højere følelse af driftssikkerhed, såsom at stole på skyen -baseret omvendt proxy-infrastruktur til at skjule de sande hostingplaceringer for deres C2-servere," ifølge rapporten.

Analyse af C2-opsætningen og både LuaDream- og Keyplug-malware-stammer viste overlapninger, "hvilket tyder på, at deres operatører har fælles funktionelle krav," tilføjede forskerne.

Voksende, effektivt samarbejde mellem en ekspanderende labyrint af kinesiske APT-grupper kræver lignende videndeling blandt cybersikkerhedssamfundet, tilføjede rapporten.

"Dets trusselsaktører vil næsten helt sikkert fortsætte med at samarbejde og koordinere og udforske nye tilgange til at opgradere funktionaliteten, fleksibiliteten og snigheden af ​​deres malware," hedder det i rapporten. "Antagelsen af ​​Lua-udviklingsparadigmet er en overbevisende illustration af dette. At navigere i trusselslandskabet kræver kontinuerligt samarbejde og informationsdeling inden for trusselsintelligensforskningssamfundet."

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/threat-intelligence/microsoft-mystery-group-targeting-telcos-chinese-apts