Microsoft: Mystery Group Targeting Telcos, joka on linkitetty kiinalaisiin APT:ihin

Yleiset haittaohjelmat ovat saaneet ryhmän tutkijoita yhdistämään aikoinaan mystisen Sandman-uhkaryhmän, joka tunnetaan kyberhyökkäyksistä televiestintäpalveluntarjoajia vastaan ​​eri puolilla maailmaa, kasvavaan Kiinan hallituksen tukemien APT-ryhmien verkkoon.

- uhkatiedustelun arviointi on Microsoftin, SentinelLabsin ja PwC:n yhteistyön tulos ja tarjoaa vain pienen kurkistuksen yleiseen monimutkaisuuteen ja laajuuteen. Kiinalainen APT uhkamaisema tutkijoiden mukaan.

Sandman tunnistettiin ensimmäisen kerran elokuussa useiden tapausten jälkeen kyberhyökkäykset puhelinyhtiöihin Lähi-idässä, Länsi-Euroopassa ja Etelä-Aasiassa, joissa käytettiin erityisesti Lua-ohjelmointikieleen perustuvaa "LuaDream"-nimistä takaovea sekä C++:ssa toteutettua "Keyplug"-nimistä takaovea.

SentinelOne kuitenkin sanoi, että sen analyytikot eivät pystyneet tunnistamaan uhkaryhmän alkuperää - tähän asti.

"Analysoimissamme näytteissä ei ole yksinkertaisia ​​​​indikaattoreita, jotka luokittaisivat ne läheisesti toisiinsa liittyviksi tai samasta lähteestä peräisin oleviksi, kuten identtisten salausavainten käyttö tai suoria päällekkäisyyksiä toteutuksessa", uusi tutkimus totesi. ”Havaitsimme kuitenkin indikaattoreita yhteisistä kehityskäytännöistä ja joitain päällekkäisyyksiä toiminnallisuuksissa ja suunnittelussa, mikä viittaa operaattoreiden yhteisiin toiminnallisiin vaatimuksiin. Tämä ei ole harvinaista Kiinan haittaohjelmamaisemassa."

Uuden raportin mukaan Lua-kehityskäytännöt sekä Keyplug-takaoven käyttöönotto näyttävät olevan jaettu Kiinassa toimivan uhkatoimijan STORM-08/Red Dev 40:n kanssa, joka tunnetaan myös Lähi-idän ja Etelä-Aasian puhelinyhtiöiden kohdistamisesta.

Kiinan APT-linkit

Raportti lisäsi, että Mandiant-tiimi ilmoitti ensimmäisenä Keyplug-takaovi käytössä mukaan tunnettu kiinalainen ryhmä APT41 vielä maaliskuussa 2022. Lisäksi Microsoft- ja PwC-tiimit havaitsivat, että Keyplug-takaovea ohjattiin useiden muiden kiinalaisten uhkaryhmien ympärille, raportti lisäsi.

Uusin Keyplug-haittaohjelma antaa tutkijoiden mukaan ryhmälle uuden edun uusilla hämärätyökaluilla.

"Ne erottavat STORM-0866/Red Dev 40:n muista klustereista tiettyjen haittaohjelmien ominaisuuksien, kuten KEYPLUG-komento- ja ohjausviestinnän (C2) ainutlaatuisten salausavaimien ja korkeamman käyttöturvallisuuden, kuten pilvipalveluiden perusteella. -pohjainen käänteinen välityspalvelininfrastruktuuri C2-palvelimiensa todellisten isännöintipaikkojen piilottamiseksi", raportin mukaan.

C2-asennuksen ja sekä LuaDream- että Keyplug-haittaohjelmakantojen analyysi osoitti päällekkäisyyksiä, mikä "osoitti operaattoreiden yhteisiä toiminnallisia vaatimuksia", tutkijat lisäsivät.

Kasvava, tehokas yhteistyö an laajeneva kiinalaisten APT-ryhmien sokkelo edellyttää samanlaista tiedon jakamista kyberturvallisuusyhteisön kesken, raportti lisäsi.

"Sen muodostavat uhkatoimijat jatkavat lähes varmasti yhteistyötä ja koordinointia tutkien uusia tapoja parantaa haittaohjelmiensa toimivuutta, joustavuutta ja salaperäisyyttä", raportissa todetaan. "Lua-kehitysparadigman omaksuminen on vakuuttava esimerkki tästä. Uhkamaisemassa navigointi vaatii jatkuvaa yhteistyötä ja tiedon jakamista uhkatiedon tutkimusyhteisössä."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/threat-intelligence/microsoft-mystery-group-targeting-telcos-chinese-apts