Microsoft: gruppo misterioso che prende di mira le società di telecomunicazioni collegate alle APT cinesi

Microsoft: gruppo misterioso che prende di mira le società di telecomunicazioni collegate alle APT cinesi

Timestamp: 11 dicembre 2023 11:00
Nodo di origine: 3008079

Un malware comune ha portato un gruppo di ricercatori a collegare il misterioso gruppo di minacce Sandman, noto per gli attacchi informatici contro i fornitori di servizi di telecomunicazioni in tutto il mondo, a una rete crescente di gruppi APT (Advanced Persistent Threat) sostenuti dal governo cinese.

Il valutazione dell’intelligence sulle minacce è il risultato di una collaborazione tra Microsoft, SentinelLabs e PwC e offre solo un piccolo sguardo alla complessità generale e all'ampiezza del APT cinese panorama delle minacce, secondo i ricercatori.

Sandman è stato identificato per la prima volta in agosto, a seguito di una serie di attacchi informatici alle società di telecomunicazioni in Medio Oriente, Europa occidentale e Asia meridionale, che utilizzavano in particolare una backdoor chiamata “LuaDream” basata sul linguaggio di programmazione Lua, nonché una backdoor chiamata “Keyplug”, implementata in C++.

Tuttavia, SentinelOne ha affermato che i suoi analisti non sono stati in grado di identificare le origini del gruppo di minacce, fino ad ora.

“I campioni che abbiamo analizzato non condividono indicatori semplici che li classificherebbero con sicurezza come strettamente correlati o provenienti dalla stessa fonte, come l’uso di chiavi di crittografia identiche o sovrapposizioni dirette nell’implementazione”, ha rilevato la nuova ricerca. “Tuttavia, abbiamo osservato indicatori di pratiche di sviluppo condivise e alcune sovrapposizioni nelle funzionalità e nel design, suggerendo requisiti funzionali condivisi da parte degli operatori. Ciò non è raro nel panorama del malware cinese”.

Il nuovo rapporto afferma che le pratiche di sviluppo di Lua, così come l'adozione della backdoor Keyplug, sembrano essere state condivise con l'attore di minacce con sede in Cina STORM-08/Red Dev 40, noto allo stesso modo per aver preso di mira le società di telecomunicazioni in Medio Oriente e nell'Asia meridionale.

Collegamenti APT cinesi

Il rapporto aggiunge che un team Mandiant ha segnalato per primo l'accaduto Backdoor keyplug in uso dal noto gruppo cinese APT41 nel marzo 2022. Inoltre, i team di Microsoft e PwC hanno scoperto che la backdoor Keyplug veniva passata a diversi altri gruppi di minacce con sede in Cina, aggiunge il rapporto.

L'ultimo malware Keyplug offre al gruppo un nuovo vantaggio, secondo i ricercatori, con nuovi strumenti di offuscamento.

"Distingono STORM-0866/Red Dev 40 dagli altri cluster in base a caratteristiche specifiche del malware, come chiavi di crittografia univoche per la comunicazione di comando e controllo (C2) KEYPLUG e un maggiore senso di sicurezza operativa, come l'affidamento al cloud basata su un'infrastruttura proxy inversa per nascondere le reali posizioni di hosting dei loro server C2", secondo il rapporto.

L'analisi della configurazione C2 e dei ceppi di malware LuaDream e Keyplug hanno mostrato sovrapposizioni, "suggerendo requisiti funzionali condivisi da parte dei loro operatori", hanno aggiunto i ricercatori.

Collaborazione crescente ed efficace tra an labirinto in espansione di gruppi APT cinesi richiede una condivisione simile delle conoscenze tra la comunità della sicurezza informatica, aggiunge il rapporto.

“Gli autori delle minacce continueranno quasi certamente a cooperare e coordinarsi, esplorando nuovi approcci per migliorare la funzionalità, la flessibilità e la segretezza del loro malware”, afferma il rapporto. “L’adozione del paradigma di sviluppo Lua ne è un esempio convincente. Muoversi nel panorama delle minacce richiede una collaborazione continua e la condivisione delle informazioni all’interno della comunità di ricerca sull’intelligence sulle minacce”.

Timestamp:

Di più da Lettura oscura