माइक्रोसॉफ्ट: चीनी एपीटी से जुड़े टेलीकॉम कंपनियों को निशाना बनाने वाला मिस्ट्री ग्रुप

सामान्य मैलवेयर ने शोधकर्ताओं के एक समूह को एक बार रहस्यमय सैंडमैन खतरा समूह, जो दुनिया भर में दूरसंचार सेवा प्रदाताओं के खिलाफ साइबर हमलों के लिए जाना जाता है, को चीनी सरकार समर्थित उन्नत लगातार खतरे (एपीटी) समूहों के बढ़ते वेब से जोड़ने के लिए प्रेरित किया है।

RSI खतरे की खुफिया आकलन माइक्रोसॉफ्ट, सेंटिनललैब्स और पीडब्ल्यूसी के बीच सहयोग का परिणाम है, और यह सामान्य जटिलता और चौड़ाई की एक छोटी सी झलक पेश करता है। चीनी एपीटी शोधकर्ताओं के अनुसार खतरे का परिदृश्य।

सैंडमैन की पहचान पहली बार अगस्त में एक श्रृंखला के बाद की गई थी टेलीकॉम कंपनियों पर साइबर हमले पूरे मध्य पूर्व, पश्चिमी यूरोप और दक्षिण एशिया में, जो विशेष रूप से लुआ प्रोग्रामिंग भाषा पर आधारित "लुआड्रीम" नामक एक पिछले दरवाजे का उपयोग करता था, साथ ही सी++ में लागू "कीप्लग" नामक एक पिछले दरवाजे का भी उपयोग करता था।

हालाँकि, सेंटिनलवन ने कहा कि उसके विश्लेषक अब तक खतरे वाले समूह की उत्पत्ति की पहचान करने में सक्षम नहीं हैं।

नए शोध में पाया गया, "जिन नमूनों का हमने विश्लेषण किया, वे सीधे संकेतक साझा नहीं करते हैं जो आत्मविश्वास से उन्हें निकट से संबंधित या एक ही स्रोत से उत्पन्न होने के रूप में वर्गीकृत करेंगे, जैसे समान एन्क्रिप्शन कुंजी का उपयोग या कार्यान्वयन में प्रत्यक्ष ओवरलैप।" “हालांकि, हमने साझा विकास प्रथाओं के संकेतक और कार्यक्षमताओं और डिज़ाइन में कुछ ओवरलैप देखे, जो ऑपरेटरों द्वारा साझा कार्यात्मक आवश्यकताओं का सुझाव देते हैं। चीनी मैलवेयर परिदृश्य में यह असामान्य नहीं है।

नई रिपोर्ट में कहा गया है कि लुआ विकास प्रथाओं, साथ ही कीप्लग बैकडोर को अपनाने को चीन स्थित खतरा अभिनेता STORM-08/रेड देव 40 के साथ साझा किया गया है, जो इसी तरह मध्य पूर्व और दक्षिण एशिया में दूरसंचार कंपनियों को लक्षित करने के लिए जाना जाता है।

चीनी एपीटी लिंक

रिपोर्ट में कहा गया है कि एक मैंडिएंट टीम ने सबसे पहले इसकी सूचना दी कीप्लग बैकडोर का उपयोग किया जा रहा है द्वारा प्रसिद्ध चीनी समूह APT41 मार्च 2022 में वापस। रिपोर्ट में कहा गया है कि इसके अलावा, माइक्रोसॉफ्ट और पीडब्ल्यूसी टीमों ने पाया कि कीप्लग बैकडोर को कई अतिरिक्त चीनी-आधारित खतरे समूहों के आसपास भेजा जा रहा था।

शोधकर्ताओं के अनुसार, नवीनतम कीप्लग मैलवेयर समूह को नए अस्पष्टीकरण टूल के साथ एक नया लाभ देता है।

“वे विशिष्ट मैलवेयर विशेषताओं के आधार पर STORM-0866/Red Dev 40 को अन्य समूहों से अलग करते हैं, जैसे कि KEYPLUG कमांड-एंड-कंट्रोल (C2) संचार के लिए अद्वितीय एन्क्रिप्शन कुंजी, और परिचालन सुरक्षा की उच्च भावना, जैसे क्लाउड पर भरोसा करना रिपोर्ट के अनुसार, उनके C2 सर्वर के वास्तविक होस्टिंग स्थानों को छिपाने के लिए रिवर्स प्रॉक्सी इन्फ्रास्ट्रक्चर आधारित है।

शोधकर्ताओं ने कहा कि C2 सेटअप और लुआड्रीम और कीप्लग मैलवेयर स्ट्रेन दोनों के विश्लेषण से ओवरलैप्स दिखाई दिए, "उनके ऑपरेटरों द्वारा साझा कार्यात्मक आवश्यकताओं का सुझाव दिया गया"।

के बीच बढ़ता, प्रभावी सहयोग चीनी एपीटी समूहों का बढ़ता चक्रव्यूह रिपोर्ट में कहा गया है कि साइबर सुरक्षा समुदाय के बीच समान ज्ञान-साझाकरण की आवश्यकता है।

रिपोर्ट में कहा गया है, "इसके घटक खतरे वाले अभिनेता निश्चित रूप से सहयोग और समन्वय करना जारी रखेंगे, अपने मैलवेयर की कार्यक्षमता, लचीलेपन और गोपनीयता को उन्नत करने के लिए नए दृष्टिकोण तलाशेंगे।" “लुआ विकास प्रतिमान को अपनाना इसका एक आकर्षक उदाहरण है। खतरे के परिदृश्य को नेविगेट करने के लिए खतरे की खुफिया अनुसंधान समुदाय के भीतर निरंतर सहयोग और जानकारी साझा करने की आवश्यकता है।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/threat-intelligence/microsoft-mystery-group-targeting-telcos-chinese-apts