Microsoft: Mystery Group célozza meg a kínai APT-kkel összekapcsolt telco-kat

Az elterjedt rosszindulatú programok arra késztették a kutatókat, hogy összekapcsolják az egykor titokzatos Sandman fenyegető csoportot, amely a távközlési szolgáltatók elleni kibertámadásokról ismert szerte a világon, és a kínai kormány által támogatott fejlett tartós fenyegetés (APT) csoportok egyre növekvő hálójához.

A fenyegetés-felderítési értékelés a Microsoft, a SentinelLabs és a PwC együttműködésének eredménye, és csak egy kis bepillantást nyújt a Kínai APT a kutatók szerint fenyegető táj.

A Sandmant először augusztusban azonosították, egy sorozatot követően kibertámadások a távközlési vállalatok ellen a Közel-Keleten, Nyugat-Európában és Dél-Ázsiában, amelyek a Lua programozási nyelven alapuló „LuaDream” nevű hátsó ajtót, valamint a C++ nyelven megvalósított „Keyplug” nevű hátsó ajtót használták.

A SentinelOne azonban azt mondta, hogy elemzői nem tudták azonosítani a fenyegető csoport eredetét – egészen mostanáig.

"Az általunk elemzett minták nem tartalmaznak olyan egyértelmű mutatókat, amelyek megbízhatóan minősítenék őket szorosan kapcsolódónak vagy ugyanabból a forrásból származónak, mint például az azonos titkosítási kulcsok használata vagy a megvalósítás közvetlen átfedése" - állapította meg az új kutatás. „Megfigyeltük azonban a megosztott fejlesztési gyakorlatok mutatóit, valamint bizonyos átfedéseket a funkciókban és a tervezésben, ami az üzemeltetők közös funkcionális követelményeire utal. Ez nem ritka a kínai rosszindulatú programok világában.”

Az új jelentés szerint a Lua fejlesztési gyakorlatait, valamint a Keyplug hátsó ajtó alkalmazását úgy tűnik, megosztották a kínai székhelyű fenyegetésekkel, a STORM-08/Red Dev 40-nel, amely hasonlóképpen a Közel-Kelet és Dél-Ázsia távközlési vállalatait célozza meg.

Kínai APT linkek

A jelentés hozzátette, hogy egy Mandiant csapat jelentette először a Kulcsdugós hátsó ajtó használatban valami által ismert kínai APT41 csoport Ezenkívül a Microsoft és a PwC csapatai megállapították, hogy a Keyplug hátsó ajtót több további kínai alapú fenyegetési csoport is átadta – tette hozzá a jelentés.

A legújabb Keyplug kártevő a kutatók szerint új elhomályosítási eszközökkel új előnyhöz juttatja a csoportot.

„Megkülönböztetik a STORM-0866/Red Dev 40-et a többi fürttől bizonyos rosszindulatú programok jellemzői, például egyedi titkosítási kulcsok a KEYPLUG parancs- és vezérlés (C2) kommunikációhoz, valamint a magasabb szintű működési biztonság, mint például a felhőre támaszkodás. -alapú fordított proxy infrastruktúra a C2 szervereik valódi tárhelyének elrejtésére” – áll a jelentésben.

A C2-beállítás, valamint a LuaDream és a Keyplug rosszindulatú programtörzsek elemzése átfedéseket mutatott ki, „az operátorok által megosztott funkcionális követelményeket sugallva” – tették hozzá a kutatók.

Növekvő, hatékony együttműködés egy a kínai APT csoportok terjeszkedő labirintusa ehhez hasonló tudásmegosztásra van szükség a kiberbiztonsági közösség körében – tette hozzá a jelentés.

„A fenyegetést alkotó szereplők szinte bizonyosan továbbra is együttműködnek és koordinálnak, új megközelítéseket kutatva rosszindulatú programjaik funkcionalitásának, rugalmasságának és rejtettségének javítására” – áll a jelentésben. „A Lua fejlesztési paradigma átvétele ennek meggyőző példája. A fenyegetettség körüli tájékozódás folyamatos együttműködést és információmegosztást tesz szükségessé a fenyegetésekkel kapcsolatos hírszerzési kutatóközösségen belül.”

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/threat-intelligence/microsoft-mystery-group-targeting-telcos-chinese-apts