מיקרוסופט: קבוצת מסתורין מכוונת לטלקואים המקושרים ל-APT סיניים

תוכנות זדוניות נפוצות הובילו קבוצת חוקרים לקשר את קבוצת איומי Sandman המסתורית פעם, הידועה במתקפות סייבר נגד ספקי שירותי טלקום ברחבי העולם, לרשת הולכת וגדלה של קבוצות איום מתמשך מתקדם (APT) הנתמכות על ידי הממשלה הסינית.

השמיים הערכת מודיעין איומים הוא תוצאה של שיתוף פעולה בין מיקרוסופט, SentinelLabs ו-PwC, ומציע רק הצצה קטנה למורכבות הכללית ולרוחבה של APT סינית נוף האיומים, לפי החוקרים.

סנדמן זוהה לראשונה באוגוסט, בעקבות סדרה של התקפות סייבר על טלקום ברחבי המזרח התיכון, מערב אירופה ודרום אסיה, אשר השתמשו בעיקר בדלת אחורית בשם "LuaDream" המבוססת על שפת התכנות Lua, וכן בדלת אחורית בשם "Keyplug", המיושמת ב-C++.

עם זאת, SentinelOne אמרה שהאנליסטים שלה לא הצליחו לזהות את מקורותיה של קבוצת האיומים - עד עכשיו.

"הדגימות שניתחנו אינן חולקות אינדיקטורים פשוטים שיסווגו אותן בביטחון כקשורות הדוק או שמקורן מאותו מקור, כמו שימוש במפתחות הצפנה זהים או חפיפות ישירות ביישום", מצא המחקר החדש. "עם זאת, ראינו אינדיקטורים של שיטות פיתוח משותפות וכמה חפיפות בפונקציונליות ובעיצוב, מה שמצביע על דרישות פונקציונליות משותפות של המפעילים. זה לא נדיר בנוף התוכנות הזדוניות הסיני."

הדו"ח החדש אומר ששיטות הפיתוח של Lua, כמו גם אימוץ הדלת האחורית Keyplug, שותפו עם שחקן האיומים STORM-08/Red Dev 40, שבסיסו בסין, הידוע באופן דומה כמי שמכוון לטלקום במזרח התיכון ובדרום אסיה.

קישורי APT סיניים

הדיווח הוסיף כי צוות מנדיאנט דיווח לראשונה על כך נעשה שימוש בדלת אחורית של תקע מפתח על ידי הקבוצה הסינית הידועה APT41 עוד במרץ 2022. בנוסף, צוותי מיקרוסופט ו-PwC גילו שהדלת האחורית Keyplug מועברת סביב מספר קבוצות איומים נוספות מבוססות סיניות, הוסיף הדו"ח.

התוכנה הזדונית האחרונה של Keyplug מעניקה לקבוצה יתרון חדש, לדברי החוקרים, עם כלי ערפול חדשים.

"הם מבחינים בין STORM-0866/Red Dev 40 מהאשכולות האחרים בהתבסס על מאפיינים ספציפיים של תוכנות זדוניות, כגון מפתחות הצפנה ייחודיים לתקשורת KEYPLUG פקודה ושליטה (C2), ותחושת אבטחה תפעולית גבוהה יותר, כגון הסתמכות על ענן -תשתית פרוקסי הפוכה מבוססת להסתרת מיקומי האירוח האמיתיים של שרתי ה-C2 שלהם", על פי הדו"ח.

ניתוח של התקנת C2 והן זני תוכנות זדוניות LuaDream ו-Keyplug הראו חפיפות, "העלו דרישות פונקציונליות משותפות של המפעילים שלהם", הוסיפו החוקרים.

שיתוף פעולה צומח ויעיל בין א מבוך מתרחב של קבוצות APT סיניות דורש שיתוף ידע דומה בין קהילת אבטחת הסייבר, הוסיף הדו"ח.

"שחקני האיומים המרכיבים את זה ימשיכו כמעט בוודאות לשתף פעולה ולתאם, ולחקור גישות חדשות לשדרוג הפונקציונליות, הגמישות והחמקניות של התוכנה הזדונית שלהם", נכתב בדו"ח. "אימוץ פרדיגמת הפיתוח של Lua הוא המחשה משכנעת לכך. ניווט בנוף האיומים מצריך שיתוף פעולה מתמשך ושיתוף מידע בתוך קהילת חוקרי מודיעין האיומים".

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/threat-intelligence/microsoft-mystery-group-targeting-telcos-chinese-apts