Microsoft: 중국 APT와 연결된 통신업체를 표적으로 삼는 미스터리 그룹

일반적인 맬웨어로 인해 연구원 그룹은 한때 전 세계 통신 서비스 제공업체를 대상으로 한 사이버 공격으로 알려진 신비한 Sandman 위협 그룹을 중국 정부가 지원하는 지능형 지속 위협(APT) 그룹의 성장하는 웹과 연결시켰습니다.

XNUMXD덴탈의 위협 인텔리전스 평가 Microsoft, SentinelLabs 및 PwC 간의 협력의 결과이며, 업계의 일반적인 복잡성과 폭을 살짝 엿볼 수 있습니다. 중국 APT 연구원들에 따르면 위협 ​​환경은 다음과 같습니다.

샌드맨은 일련의 일련의 사건 이후 XNUMX월에 처음으로 확인되었습니다. 통신사에 대한 사이버 공격 특히 Lua 프로그래밍 언어를 기반으로 한 "LuaDream"이라는 백도어와 C++로 구현된 "Keyplug"라는 백도어를 중동, 서유럽, 남아시아 전역에서 사용했습니다.

그러나 SentinelOne은 분석가들이 지금까지 위협 그룹의 출처를 식별할 수 없었다고 말했습니다.

“우리가 분석한 샘플은 동일한 암호화 키를 사용하거나 구현이 직접적으로 겹치는 등 밀접하게 관련되어 있거나 동일한 소스에서 유래한 것으로 자신 있게 분류할 수 있는 간단한 지표를 공유하지 않습니다.”라고 새로운 연구 결과가 밝혀졌습니다. “그러나 우리는 공유 개발 관행의 지표와 기능 및 디자인의 일부 중복을 관찰하여 운영자의 공유 기능 요구 사항을 제안했습니다. 이는 중국 악성 코드 환경에서는 드문 일이 아닙니다.”

새로운 보고서에 따르면 Lua 개발 관행과 Keyplug 백도어 채택이 중동 및 남아시아의 통신업체를 표적으로 삼는 것으로 알려진 중국 기반 위협 행위자 STORM-08/Red Dev 40과 공유된 것으로 보입니다.

중국 APT 링크

보고서는 Mandiant 팀이 처음으로 다음과 같은 사실을 보고했다고 덧붙였습니다. 키플러그 백도어가 사용되고 있음 로 알려진 중국 그룹 APT41 또한 보고서에 따르면 Microsoft와 PwC 팀은 Keyplug 백도어가 여러 개의 추가 중국 기반 위협 그룹을 통해 전달되고 있음을 발견했다고 덧붙였습니다.

연구원에 따르면 최신 Keyplug 악성 코드는 새로운 난독화 도구를 통해 그룹에 새로운 이점을 제공한다고 합니다.

“그들은 KEYPLUG 명령 및 제어(C0866) 통신을 위한 고유한 암호화 키와 클라우드에 의존하는 것과 같은 더 높은 운영 보안 감각과 같은 특정 악성 코드 특성을 기반으로 STORM-40/Red Dev 2을 다른 클러스터와 구별합니다. 보고서에 따르면 C2 서버의 실제 호스팅 위치를 숨기기 위한 역방향 프록시 인프라입니다.

연구원들은 C2 설정 분석과 LuaDream 및 Keyplug 악성 코드 변종 모두가 중복되는 것을 확인했으며, 이는 "운영자들이 공유하는 기능 요구 사항을 시사"한다고 덧붙였습니다.

성장하고 효과적인 협업 중국 APT 그룹의 미로 확장 보고서는 사이버 보안 커뮤니티 간에 유사한 지식 공유가 필요하다고 덧붙였습니다.

“구성된 위협 행위자들은 악성 코드의 기능, 유연성, 은밀성을 업그레이드하기 위한 새로운 접근 방식을 모색하면서 계속해서 협력하고 조율할 것입니다.”라고 보고서는 말했습니다. “Lua 개발 패러다임의 채택은 이에 대한 설득력 있는 예시입니다. 위협 환경을 탐색하려면 위협 인텔리전스 연구 커뮤니티 내에서 지속적인 협업과 정보 공유가 필요합니다.”

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/threat-intelligence/microsoft-mystery-group-targeting-telcos-chinese-apts