Microsoft: Mystery Group Targeting Telcos που συνδέονται με κινεζικά APT

Microsoft: Mystery Group Targeting Telcos που συνδέονται με κινεζικά APT

Χρονική σήμανση: 11 Δεκεμβρίου 2023 11:00 π.μ.
Κόμβος πηγής: 3008079

Το κοινό κακόβουλο λογισμικό οδήγησε μια ομάδα ερευνητών να συνδέσει την άλλοτε μυστηριώδη ομάδα απειλών Sandman, γνωστή για τις επιθέσεις στον κυβερνοχώρο εναντίον παρόχων τηλεπικοινωνιακών υπηρεσιών σε όλο τον κόσμο, με έναν αυξανόμενο ιστό ομάδων προηγμένων επίμονων απειλών (APT) που υποστηρίζονται από την κινεζική κυβέρνηση.

Η εκτίμηση πληροφοριών απειλών είναι το αποτέλεσμα μιας συνεργασίας μεταξύ της Microsoft, της SentinelLabs και της PwC και προσφέρει μόνο μια μικρή ματιά στη γενική πολυπλοκότητα και το εύρος του Κινεζικό APT τοπίο απειλής, σύμφωνα με τους ερευνητές.

Το Sandman αναγνωρίστηκε για πρώτη φορά τον Αύγουστο, μετά από μια σειρά από κυβερνοεπιθέσεις σε τηλεπικοινωνίες σε όλη τη Μέση Ανατολή, τη Δυτική Ευρώπη και τη Νότια Ασία, οι οποίες χρησιμοποίησαν συγκεκριμένα μια κερκόπορτα που ονομάζεται "LuaDream" βασισμένη στη γλώσσα προγραμματισμού Lua, καθώς και μια κερκόπορτα που ονομάζεται "Keyplug", που υλοποιήθηκε στη C++.

Ωστόσο, η SentinelOne είπε ότι οι αναλυτές της δεν ήταν σε θέση να προσδιορίσουν την προέλευση της ομάδας απειλής — μέχρι τώρα.

«Τα δείγματα που αναλύσαμε δεν μοιράζονται απλούς δείκτες που θα τα ταξινομούσαν με σιγουριά ως στενά συνδεδεμένα ή προερχόμενα από την ίδια πηγή, όπως χρήση πανομοιότυπων κλειδιών κρυπτογράφησης ή άμεσες επικαλύψεις κατά την εφαρμογή», ​​διαπίστωσε η νέα έρευνα. «Ωστόσο, παρατηρήσαμε δείκτες κοινών πρακτικών ανάπτυξης και ορισμένες επικαλύψεις σε λειτουργικότητα και σχεδιασμό, υποδηλώνοντας κοινές λειτουργικές απαιτήσεις από τους χειριστές. Αυτό δεν είναι ασυνήθιστο στο κινεζικό τοπίο κακόβουλου λογισμικού."

Η νέα έκθεση αναφέρει ότι οι πρακτικές ανάπτυξης Lua, καθώς και η υιοθέτηση της κερκόπορτας Keyplug, φαίνεται να έχουν κοινοποιηθεί στον κινεζικό πρωταγωνιστή απειλών STORM-08/Red Dev 40, εξίσου γνωστός για τη στόχευση τηλεπικοινωνιών στη Μέση Ανατολή και τη Νότια Ασία.

Κινεζικοί σύνδεσμοι APT

Η έκθεση πρόσθεσε ότι μια ομάδα Mandiant ανέφερε πρώτα το Χρησιμοποιείται η κερκόπορτα με κλειδί από το γνωστή κινεζική ομάδα APT41 τον Μάρτιο του 2022. Επιπλέον, οι ομάδες της Microsoft και της PwC διαπίστωσαν ότι η κερκόπορτα του Keyplug μεταβιβαζόταν σε πολλές πρόσθετες ομάδες απειλών που βασίζονται στην Κίνα, πρόσθεσε η έκθεση.

Το τελευταίο κακόβουλο λογισμικό Keyplug δίνει στην ομάδα ένα νέο πλεονέκτημα, σύμφωνα με τους ερευνητές, με νέα εργαλεία συσκότισης.

«Διακρίνουν το STORM-0866/Red Dev 40 από τα άλλα συμπλέγματα βάσει συγκεκριμένων χαρακτηριστικών κακόβουλου λογισμικού, όπως μοναδικά κλειδιά κρυπτογράφησης για επικοινωνία εντολών και ελέγχου KEYPLUG (C2) και υψηλότερη αίσθηση λειτουργικής ασφάλειας, όπως το να βασίζεσαι στο cloud -Βασισμένη υποδομή αντίστροφου διακομιστή μεσολάβησης για την απόκρυψη των πραγματικών θέσεων φιλοξενίας των διακομιστών τους C2», σύμφωνα με την έκθεση.

Η ανάλυση της ρύθμισης του C2 και των δύο στελέχη κακόβουλου λογισμικού LuaDream και Keyplug έδειξε αλληλεπικαλύψεις, «υποδηλώνοντας κοινές λειτουργικές απαιτήσεις από τους χειριστές τους», πρόσθεσαν οι ερευνητές.

Η αυξανόμενη, αποτελεσματική συνεργασία μεταξύ ενός διευρυνόμενος λαβύρινθος κινεζικών ομάδων APT απαιτεί παρόμοια ανταλλαγή γνώσεων μεταξύ της κοινότητας της κυβερνοασφάλειας, πρόσθεσε η έκθεση.

«Οι συνιστώσες απειλές θα συνεχίσουν σχεδόν σίγουρα να συνεργάζονται και να συντονίζονται, διερευνώντας νέες προσεγγίσεις για την αναβάθμιση της λειτουργικότητας, της ευελιξίας και της μυστικότητας του κακόβουλου λογισμικού τους», ανέφερε η έκθεση. «Η υιοθέτηση του παραδείγματος ανάπτυξης Lua είναι μια συναρπαστική απόδειξη αυτού. Η πλοήγηση στο τοπίο των απειλών απαιτεί συνεχή συνεργασία και ανταλλαγή πληροφοριών εντός της ερευνητικής κοινότητας πληροφοριών απειλών».

Σφραγίδα ώρας:

Περισσότερα από Σκοτεινή ανάγνωση