Les logiciels malveillants courants ont conduit un groupe de chercheurs à relier le mystérieux groupe de menaces Sandman, connu pour ses cyberattaques contre les fournisseurs de services de télécommunications du monde entier, à un réseau croissant de groupes de menaces persistantes avancées (APT) soutenus par le gouvernement chinois.
La évaluation des renseignements sur les menaces est le résultat d'une collaboration entre Microsoft, SentinelLabs et PwC, et offre juste un petit aperçu de la complexité générale et de l'étendue du APT chinois paysage de menaces, selon les chercheurs.
Sandman a été identifié pour la première fois en août, à la suite d'une série de cyberattaques contre les opérateurs télécoms au Moyen-Orient, en Europe occidentale et en Asie du Sud, qui utilisait notamment une porte dérobée appelée « LuaDream » basée sur le langage de programmation Lua, ainsi qu'une porte dérobée appelée « Keyplug », implémentée en C++.
Cependant, SentinelOne a déclaré que ses analystes n'étaient pas en mesure d'identifier les origines du groupe menaçant – jusqu'à présent.
"Les échantillons que nous avons analysés ne partagent pas d'indicateurs simples qui permettraient de les classer en toute confiance comme étant étroitement liés ou provenant de la même source, comme l'utilisation de clés de cryptage identiques ou des chevauchements directs dans la mise en œuvre", révèle la nouvelle recherche. « Cependant, nous avons observé des indicateurs de pratiques de développement partagées et certains chevauchements dans les fonctionnalités et la conception, suggérant des exigences fonctionnelles partagées par les opérateurs. Ce n’est pas rare dans le paysage chinois des logiciels malveillants.
Le nouveau rapport indique que les pratiques de développement de Lua, ainsi que l'adoption de la porte dérobée Keyplug, semblent avoir été partagées avec l'acteur malveillant basé en Chine STORM-08/Red Dev 40, également connu pour cibler les opérateurs télécoms au Moyen-Orient et en Asie du Sud.
Liens APT chinois
Le rapport ajoute qu'une équipe Mandiant a été la première à signaler le Porte dérobée Keyplug utilisée par le groupe chinois connu APT41 en mars 2022. En outre, les équipes de Microsoft et de PwC ont découvert que la porte dérobée Keyplug était transmise à plusieurs autres groupes de menaces basés en Chine, ajoute le rapport.
Le dernier malware Keyplug donne au groupe un nouvel avantage, selon les chercheurs, avec de nouveaux outils d'obscurcissement.
« Ils distinguent STORM-0866/Red Dev 40 des autres clusters sur la base de caractéristiques spécifiques des logiciels malveillants, telles que des clés de chiffrement uniques pour la communication de commande et de contrôle (C2) KEYPLUG, et un sentiment plus élevé de sécurité opérationnelle, comme le recours au cloud. "infrastructure de proxy inverse basée sur une infrastructure de proxy inverse pour masquer les véritables emplacements d'hébergement de leurs serveurs C2", selon le rapport.
L'analyse de la configuration C2 et des souches de logiciels malveillants LuaDream et Keyplug a montré des chevauchements, « suggérant des exigences fonctionnelles partagées par leurs opérateurs », ont ajouté les chercheurs.
Une collaboration croissante et efficace entre un Le labyrinthe en expansion des groupes APT chinois nécessite un partage de connaissances similaire au sein de la communauté de la cybersécurité, ajoute le rapport.
"Les acteurs de la menace qui le constituent continueront presque certainement à coopérer et à se coordonner, en explorant de nouvelles approches pour améliorer la fonctionnalité, la flexibilité et la furtivité de leurs logiciels malveillants", indique le rapport. « L’adoption du paradigme de développement Lua en est une illustration convaincante. Naviguer dans le paysage des menaces nécessite une collaboration et un partage d’informations continus au sein de la communauté de recherche sur les renseignements sur les menaces.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/threat-intelligence/microsoft-mystery-group-targeting-telcos-chinese-apts
- :possède
- :est
- :ne pas
- 2022
- 40
- a
- Capable
- Selon
- à travers
- acteurs
- ajoutée
- ajout
- Supplémentaire
- Adoption
- Avancée
- menace persistante avancée
- Avantage
- à opposer à
- presque
- parmi
- an
- Analystes
- analysé
- ainsi que
- apparaître
- approches
- APT
- autour
- AS
- Asie
- Août
- RETOUR
- détourné
- basé
- était
- va
- jusqu'à XNUMX fois
- tous les deux
- largeur
- by
- C + +
- appelé
- Appels
- Assurément
- caractéristiques
- chinois
- Classer
- étroitement
- collaboration
- Communication
- Communautés
- irrésistible
- complexité
- avec confiance
- constituant
- continuer
- continu
- COOPÉRER
- coordonner
- cyber-attaques
- Cybersécurité
- Conception
- dev
- Développement
- distinguer
- do
- Est
- Efficace
- chiffrement
- Ether (ETH)
- Europe
- Explorer
- Prénom
- Flexibilité
- Abonnement
- Pour
- trouvé
- De
- fonctionnel
- fonctionnalités
- Général
- donne
- Coup d'œil
- Réservation de groupe
- Groupes
- Croissance
- Vous avez
- augmentation
- hébergement
- Cependant
- HTTPS
- identique
- identifié
- Identite
- la mise en oeuvre
- mis en œuvre
- in
- Indicateurs
- d'information
- Infrastructure
- Intelligence
- développement
- SES
- jpg
- juste
- clés
- connu
- paysage d'été
- langue
- Nouveautés
- LED
- LINK
- lié
- emplacements
- malware
- Mars
- Microsoft
- Milieu
- Moyen-Orient
- plusieurs
- mystérieux
- Mystère
- navigation
- Nouveauté
- notamment
- maintenant
- observée
- of
- Offres Speciales
- on
- une fois
- opérationnel
- opérateurs
- or
- originaire
- les origines
- Autre
- paradigme
- passé
- Platon
- Intelligence des données Platon
- PlatonDonnées
- pratiques
- Programmation
- fournisseurs
- procuration
- PWC
- en relation
- s'appuyer
- rapport
- Signalé
- Exigences
- a besoin
- un article
- recherche communautaire
- chercheurs
- résultat
- inverser
- s
- Saïd
- même
- dit
- sécurité
- sens
- SentinelleUn
- Série
- serveurs
- service
- les fournisseurs de services
- installation
- Partager
- commun
- partage
- montré
- similaires
- De même
- petit
- quelques
- Identifier
- Région Sud
- groupe de neurones
- simple
- Variétés de Cannabis
- tel
- T
- ciblage
- équipe
- équipes
- télécommunications
- qui
- La
- le monde
- leur
- Les
- l'ont
- this
- menace
- acteurs de la menace
- renseignements sur les menaces
- à
- les outils
- oui
- Rare
- expérience unique et authentique
- jusqu'à
- améliorer
- utilisé
- d'utiliser
- était
- we
- web
- WELL
- Occidental
- Europe occidentale
- qui
- sera
- comprenant
- dans les
- world
- pourra
- zéphyrnet
