Microsoft: Mystery Group, mis sihib Hiina APT-dega seotud telcosid

Levinud pahavara on pannud teadlaste rühma ühendama kunagise salapärase Sandmani ohurühma, mis on tuntud küberrünnakute poolest telekommunikatsiooniteenuste pakkujate vastu kogu maailmas, Hiina valitsuse toetatud arenenud püsivate ohtude (APT) rühmade kasvava võrguga.

. ohuluure hindamine on Microsofti, SentinelLabsi ja PwC koostöö tulemus ning pakub vaid väikese pilguheite üldisele keerukusele ja laiusele. Hiina APT teadlaste sõnul ohumaastik.

Sandman tuvastati esmakordselt augustis pärast mitmeid juhtumeid küberrünnakud telcodele Lähis-Idas, Lääne-Euroopas ja Lõuna-Aasias, kus kasutati eelkõige Lua programmeerimiskeelel põhinevat tagaust nimega “LuaDream”, aga ka C++-s rakendatud tagaust “Keyplug”.

SentinelOne ütles aga, et selle analüütikud ei suutnud tuvastada ohurühma päritolu - siiani.

"Meie analüüsitud proovidel ei ole selgeid näitajaid, mis võiksid kindlalt klassifitseerida need tihedalt seotud või samast allikast pärinevateks, näiteks identsete krüpteerimisvõtmete kasutamine või rakendamise otsene kattumine," leiti uues uuringus. „Siiski täheldasime jagatud arendustavade näitajaid ning mõningaid kattumisi funktsionaalsuses ja disainis, mis viitab operaatorite ühistele funktsionaalsetele nõuetele. See pole Hiina pahavaramaastikul haruldane.

Uues aruandes öeldakse, et Lua arenduspraktikaid ja Keyplugi tagaukse kasutuselevõttu näib olevat jagatud Hiinas asuva ohutegijaga STORM-08/Red Dev 40, mis on sarnaselt tuntud Lähis-Ida ja Lõuna-Aasia telekommunikatsiooniettevõtete sihtimise poolest.

Hiina APT lingid

Aruandes lisati, et esmalt teatas Mandianti meeskond Klahvipistiku tagaluuk on kasutusel poolt tuntud Hiina grupp APT41 2022. aasta märtsis. Lisaks avastasid Microsofti ja PwC meeskonnad, et Keyplugi tagauks edastati mitmele täiendavale Hiina-põhisele ohurühmale, lisati aruandes.

Uusim Keyplugi pahavara annab teadlaste sõnul grupile uue eelise uute hägusustööriistade abil.

"Nad eristavad STORM-0866/Red Dev 40 teistest klastritest konkreetsete pahavaraomaduste põhjal, nagu kordumatud krüpteerimisvõtmed KEYPLUG-käskluse ja juhtimise (C2) side jaoks, ja kõrgemal tööturvalisusel, näiteks pilvele tuginedes. -põhine pöördpuhverserveri infrastruktuur, et varjata nende C2-serverite tegelikke hostimisasukohti," seisab aruandes.

C2 seadistuse ning nii LuaDreami kui ka Keyplugi pahavara tüvede analüüs näitas kattumisi, mis viitab operaatorite jagatud funktsionaalsetele nõuetele, lisasid teadlased.

Kasvav ja tõhus koostöö an Hiina APT rühmade laienev rägastik nõuab samasugust teadmiste jagamist küberjulgeoleku kogukonna vahel, lisati aruandes.

"Selles ohus osalejad jätkavad peaaegu kindlasti koostööd ja koordineerimist, uurides uusi lähenemisviise oma pahavara funktsionaalsuse, paindlikkuse ja varguse täiustamiseks," seisis aruandes. „Lua arendusparadigma omaksvõtmine on selle veenev näide. Ohumaastikul navigeerimine nõuab pidevat koostööd ja teabe jagamist ohuluure uurimiskogukonnas.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/threat-intelligence/microsoft-mystery-group-targeting-telcos-chinese-apts