一般的なマルウェアにより、研究者グループは、世界中の通信サービスプロバイダーに対するサイバー攻撃で知られる、かつては謎に包まれていたサンドマン脅威グループを、中国政府が支援するAPT(Advanced Persistent Threat)グループの成長するウェブに結び付けることにつながりました。
脅威インテリジェンスの評価 これは Microsoft、SentinelLabs、および PwC のコラボレーションの成果であり、その全体的な複雑さと広範さをほんの少しだけ垣間見ることができます。 中国語APT 研究者らによると、脅威の状況は次のとおりです。
サンドマンは一連の事件の後、XNUMX月に初めて特定された。 通信会社に対するサイバー攻撃 中東、西ヨーロッパ、南アジア全域で、特に Lua プログラミング言語に基づく「LuaDream」と呼ばれるバックドアと、C++ で実装された「Keyplug」と呼ばれるバックドアが使用されていました。
しかし、SentinelOne は、同社のアナリストは現在に至るまで、この脅威グループの起源を特定できていないと述べた。
「私たちが分析したサンプルには、同一の暗号化キーの使用や実装における直接の重複など、密接に関連している、または同じソースに由来すると自信を持って分類できるような単純な指標が共有されていない」ことが新しい研究で判明した。 「しかし、私たちは、開発慣行の共有と、機能と設計の一部の重複を示す指標を観察し、オペレーターによる共有の機能要件を示唆しました。 これは中国のマルウェア界では珍しいことではありません。」
新しいレポートによると、Lua の開発慣行と Keyplug バックドアの採用は、同様に中東と南アジアの通信会社を標的としたことで知られる、中国を拠点とする攻撃者 STORM-08/Red Dev 40 と共有されていたようです。
中国語の APT リンク
報告書は、マンディアントのチームが最初に報告したと付け加えた。 キープラグバックドアが使用されています を通じて、タンピングされたコーヒーベッドの上から均一にフィルターバスケットの内の粉に浸透していきます。 既知の中国のグループ APT41 さらに、Microsoft と PwC チームは、Keyplug バックドアがさらに複数の中国ベースの脅威グループを経由していることを発見した、とレポートは付け加えています。
研究者らによると、最新の Keyplug マルウェアは、新しい難読化ツールによってグループに新たな利点をもたらします。
「彼らは、KEYPLUG コマンドアンドコントロール (C0866) 通信用の一意の暗号化キーや、クラウドへの依存などのより高い運用セキュリティ意識などの特定のマルウェアの特性に基づいて、STORM-40/Red Dev 2 を他のクラスターから区別します。レポートによると、C2 サーバーの実際のホスティング場所を隠すための、ベースのリバース プロキシ インフラストラクチャです。
C2セットアップとLuaDreamとKeyplugの両方のマルウェア株の分析では重複が示され、「オペレーターによる共通の機能要件を示唆している」と研究者らは付け加えた。
成長する効果的なコラボレーション 拡大する中国のAPTグループの迷路 サイバーセキュリティコミュニティ間でも同様の知識の共有が必要であると報告書は付け加えた。
「その構成要素である脅威アクターは、ほぼ確実に今後も協力と調整を続け、マルウェアの機能、柔軟性、ステルス性をアップグレードするための新しいアプローチを模索するだろう」と報告書は述べている。 「Lua 開発パラダイムの採用は、これを示す説得力のある例です。 脅威の状況を乗り切るには、脅威インテリジェンス研究コミュニティ内での継続的なコラボレーションと情報共有が必要です。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/threat-intelligence/microsoft-mystery-group-targeting-telcos-chinese-apts
- :持っている
- :は
- :not
- 2022
- 40
- a
- できる
- 従った
- 越えて
- 俳優
- 追加されました
- 添加
- NEW
- 養子縁組
- 高度な
- 高度な持続的脅威
- 利点
- に対して
- ほとんど
- 間で
- an
- アナリスト
- 分析
- および
- 現れる
- アプローチ
- APT
- 周りに
- AS
- アジア
- 8月
- バック
- 裏口
- ベース
- き
- さ
- の間に
- 両言語で
- 幅
- by
- C + +
- 呼ばれます
- コール
- 確かに
- 特性
- 中国語
- 分類します
- 密接に
- 環境、テクノロジーを推奨
- コミュニケーション
- コミュニティ
- 説得力のある
- 複雑さ
- 自信を持って
- アップ
- 続ける
- 連続的な
- 協力する
- 調整する
- サイバー攻撃
- サイバーセキュリティ
- 設計
- デベロッパー
- 開発
- 直接
- 見分けます
- do
- 東
- 効果的な
- 暗号化
- エーテル(ETH)
- ヨーロッパ
- 探る
- 名
- 柔軟性
- フォロー中
- 発見
- から
- 機能的な
- 機能性
- 機能性
- 与える
- 垣間見ます
- グループ
- グループの
- 成長
- 持ってる
- より高い
- ホスティング
- しかしながら
- HTTPS
- 同一の
- 特定され
- アイデンティティ
- 実装
- 実装
- in
- インジケータ
- 情報
- インフラ
- インテリジェンス
- に
- ITS
- JPG
- ただ
- キー
- 既知の
- 風景
- 言語
- 最新の
- ツェッペリン
- LINK
- リンク
- 場所
- マルウェア
- 3月
- Microsoft
- 真ん中
- 中東
- の試合に
- 神秘的な
- 謎
- ナビゲート
- 新作
- 特に
- 今
- 観測された
- of
- オファー
- on
- かつて
- オペレーショナル
- 演算子
- or
- 元来の
- 起源
- その他
- パラダイム
- 渡された
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- プラクティス
- プログラミング
- プロバイダ
- 代理
- PWC
- 関連する
- 信頼
- レポート
- 報告
- 要件
- 必要
- 研究
- 研究コミュニティ
- 研究者
- 結果
- 逆
- s
- 前記
- 同じ
- 言う
- セキュリティ
- センス
- センチネルワン
- シリーズ
- サーバ
- サービス
- サービスプロバイダ
- シェアする
- shared
- シェアリング
- 示されました
- 同様の
- 同様に
- 小さい
- 一部
- ソース
- サウス
- 特定の
- 簡単な
- 株
- そのような
- T
- ターゲット
- チーム
- チーム
- 電気通信
- それ
- 世界
- アプリ環境に合わせて
- それら
- 彼ら
- この
- 脅威
- 脅威アクター
- 脅威インテリジェンス
- 〜へ
- 豊富なツール群
- true
- アンコモン
- ユニーク
- まで
- アップグレード
- つかいます
- 中古
- ました
- we
- ウェブ
- WELL
- 西部の
- which
- 意志
- 以内
- 世界
- でしょう
- ゼファーネット