Microsoft: Grup Misteri Menargetkan Perusahaan Telekomunikasi yang Terhubung dengan APT Tiongkok

Malware umum telah mengarahkan sekelompok peneliti untuk menghubungkan kelompok ancaman Sandman yang dulunya misterius, yang dikenal karena serangan siber terhadap penyedia layanan telekomunikasi di seluruh dunia, dengan jaringan kelompok ancaman persisten tingkat lanjut (APT) yang didukung pemerintah Tiongkok.

Grafik penilaian intelijen ancaman adalah hasil kolaborasi antara Microsoft, SentinelLabs, dan PwC, dan memberikan gambaran sekilas tentang kompleksitas umum dan luasnya APT Cina lanskap ancaman, menurut para peneliti.

Sandman pertama kali diidentifikasi pada bulan Agustus, setelah serangkaian kasus serangan siber terhadap perusahaan telekomunikasi di Timur Tengah, Eropa Barat, dan Asia Selatan, yang terutama menggunakan pintu belakang yang disebut “LuaDream” berdasarkan bahasa pemrograman Lua, serta pintu belakang yang disebut “Keyplug,” yang diimplementasikan dalam C++.

Namun, SentinelOne mengatakan para analisnya belum dapat mengidentifikasi asal usul kelompok ancaman tersebut – hingga saat ini.

“Sampel yang kami analisis tidak memiliki indikator langsung yang dapat dengan yakin mengklasifikasikannya sebagai sampel yang berkerabat dekat atau berasal dari sumber yang sama, seperti penggunaan kunci enkripsi yang identik atau tumpang tindih langsung dalam penerapannya,” demikian temuan penelitian baru. “Namun, kami mengamati indikator praktik pengembangan bersama dan beberapa tumpang tindih dalam fungsi dan desain, yang menunjukkan adanya persyaratan fungsional bersama oleh para operator. Hal ini biasa terjadi di lanskap malware Tiongkok.”

Laporan baru tersebut mengatakan bahwa praktik pengembangan Lua, serta penerapan pintu belakang Keyplug, tampaknya juga dimiliki oleh aktor ancaman yang berbasis di Tiongkok, STORM-08/Red Dev 40, yang juga dikenal karena menargetkan perusahaan telekomunikasi di Timur Tengah dan Asia Selatan.

Tautan APT Cina

Laporan tersebut menambahkan bahwa tim Mandiant pertama kali melaporkan hal tersebut Pintu belakang keyplug sedang digunakan oleh grup Cina terkenal APT41 pada bulan Maret 2022. Selain itu, tim Microsoft dan PwC menemukan pintu belakang Keyplug disebarkan ke beberapa kelompok ancaman tambahan yang berbasis di Tiongkok, tambah laporan itu.

Malware Keyplug terbaru memberi kelompok ini keuntungan baru, menurut para peneliti, dengan alat kebingungan baru.

“Mereka membedakan STORM-0866/Red Dev 40 dari cluster lain berdasarkan karakteristik malware tertentu, seperti kunci enkripsi unik untuk komunikasi perintah dan kontrol (C2) KEYPLUG, dan rasa keamanan operasional yang lebih tinggi, seperti mengandalkan cloud. infrastruktur proxy terbalik berbasis untuk menyembunyikan lokasi hosting sebenarnya dari server C2 mereka,” menurut laporan itu.

Analisis terhadap pengaturan C2 dan jenis malware LuaDream dan Keyplug menunjukkan tumpang tindih, “menunjukkan persyaratan fungsional yang sama dari operator mereka,” tambah para peneliti.

Kolaborasi yang berkembang dan efektif antara memperluas labirin kelompok APT Tiongkok membutuhkan pertukaran pengetahuan serupa di antara komunitas keamanan siber, tambah laporan itu.

“Para pelaku ancaman di dalamnya hampir pasti akan terus bekerja sama dan berkoordinasi, mengeksplorasi pendekatan baru untuk meningkatkan fungsionalitas, fleksibilitas, dan kerahasiaan malware mereka,” kata laporan itu. “Penerapan paradigma pengembangan Lua adalah ilustrasi yang menarik mengenai hal ini. Menavigasi lanskap ancaman memerlukan kolaborasi berkelanjutan dan berbagi informasi dalam komunitas riset intelijen ancaman.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/threat-intelligence/microsoft-mystery-group-targeting-telcos-chinese-apts