Microsoft: grupo misterioso dirigido a empresas de telecomunicaciones vinculadas a APT chinas

Microsoft: grupo misterioso dirigido a empresas de telecomunicaciones vinculadas a APT chinas

Marca de tiempo: 11 de diciembre de 2023 11:00 a.m.
Nodo de origen: 3008079

El malware común ha llevado a un grupo de investigadores a vincular el alguna vez misterioso grupo de amenazas Sandman, conocido por ataques cibernéticos contra proveedores de servicios de telecomunicaciones en todo el mundo, con una creciente red de grupos de amenazas persistentes avanzadas (APT, por sus siglas en inglés) respaldados por el gobierno chino.

La evaluación de inteligencia de amenazas es el resultado de una colaboración entre Microsoft, SentinelLabs y PwC, y ofrece sólo un pequeño vistazo a la complejidad general y la amplitud de la APT chino panorama de amenazas, según los investigadores.

Sandman fue identificado por primera vez en agosto, luego de una serie de ciberataques a empresas de telecomunicaciones en Medio Oriente, Europa occidental y el sur de Asia, que utilizó en particular una puerta trasera llamada “LuaDream” basada en el lenguaje de programación Lua, así como una puerta trasera llamada “Keyplug”, implementada en C++.

Sin embargo, SentinelOne dijo que sus analistas no pudieron identificar los orígenes del grupo de amenazas, hasta ahora.

"Las muestras que analizamos no comparten indicadores sencillos que las clasificarían con seguridad como estrechamente relacionadas o que se originan en la misma fuente, como el uso de claves de cifrado idénticas o superposiciones directas en la implementación", encontró la nueva investigación. “Sin embargo, observamos indicadores de prácticas de desarrollo compartidas y algunas superposiciones en funcionalidades y diseño, lo que sugiere requisitos funcionales compartidos por parte de los operadores. Esto no es infrecuente en el panorama del malware chino”.

El nuevo informe dice que las prácticas de desarrollo de Lua, así como la adopción de la puerta trasera Keyplug, parecen haber sido compartidas con el actor de amenazas STORM-08/Red Dev 40, con sede en China, también conocido por apuntar a empresas de telecomunicaciones en Medio Oriente y el sur de Asia.

Enlaces APT chinos

El informe agregó que un equipo de Mandiant informó por primera vez sobre el Se está utilizando la puerta trasera Keyplug según el conocido grupo chino APT41 en marzo de 2022. Además, los equipos de Microsoft y PwC descubrieron que la puerta trasera Keyplug se estaba transmitiendo a varios grupos de amenazas adicionales con sede en China, agregó el informe.

El último malware Keyplug le da al grupo una nueva ventaja, según los investigadores, con nuevas herramientas de ofuscación.

“Distinguen a STORM-0866/Red Dev 40 de los otros clústeres basándose en características específicas del malware, como claves de cifrado únicas para la comunicación de comando y control (C2) KEYPLUG y una mayor sensación de seguridad operativa, como depender de la nube. "Infraestructura de proxy inverso basada en para ocultar las verdaderas ubicaciones de alojamiento de sus servidores C2", según el informe.

El análisis de la configuración C2 y las cepas de malware LuaDream y Keyplug mostraron superposiciones, "lo que sugiere requisitos funcionales compartidos por parte de sus operadores", agregaron los investigadores.

Colaboración creciente y eficaz entre una Laberinto en expansión de grupos APT chinos requiere un intercambio de conocimientos similar entre la comunidad de ciberseguridad, agrega el informe.

"Es casi seguro que los actores de amenazas que lo constituyen continuarán cooperando y coordinándose, explorando nuevos enfoques para mejorar la funcionalidad, la flexibilidad y el sigilo de su malware", dice el informe. “La adopción del paradigma de desarrollo Lua es un ejemplo convincente de esto. Navegar por el panorama de amenazas requiere colaboración continua e intercambio de información dentro de la comunidad de investigación de inteligencia de amenazas”.

Sello de tiempo:

Mas de Lectura oscura