Microsoft: Mystery Group richt zich op telecombedrijven die zijn gekoppeld aan Chinese APT's

Microsoft: Mystery Group richt zich op telecombedrijven die zijn gekoppeld aan Chinese APT's

Tijdstempel: 11 december 2023 11:00 uur
Bronknooppunt: 3008079

Veelvoorkomende malware heeft een groep onderzoekers ertoe aangezet de ooit mysterieuze Sandman-dreigingsgroep, bekend van cyberaanvallen tegen telecomproviders over de hele wereld, te koppelen aan een groeiend web van door de Chinese overheid gesteunde Advanced Persistent Threat (APT)-groepen.

De beoordeling van dreigingsinformatie is het resultaat van een samenwerking tussen Microsoft, SentinelLabs en PwC, en biedt slechts een klein kijkje in de algemene complexiteit en reikwijdte van de Chinese APT dreigingslandschap, aldus de onderzoekers.

Sandman werd voor het eerst geïdentificeerd in augustus, na een reeks van cyberaanvallen op telecombedrijven in het Midden-Oosten, West-Europa en Zuid-Azië, waar met name gebruik werd gemaakt van een achterdeur genaamd “LuaDream”, gebaseerd op de programmeertaal Lua, evenals een achterdeur genaamd “Keyplug”, geïmplementeerd in C++.

SentinelOne zei echter dat zijn analisten tot nu toe niet in staat waren de oorsprong van de dreigingsgroep te achterhalen.

“De monsters die we hebben geanalyseerd, delen geen duidelijke indicatoren die ze met vertrouwen zouden classificeren als nauw verwant of afkomstig uit dezelfde bron, zoals het gebruik van identieke encryptiesleutels of directe overlappingen in de implementatie”, zo blijkt uit het nieuwe onderzoek. “We hebben echter indicatoren waargenomen van gedeelde ontwikkelingspraktijken en enkele overlappingen in functionaliteiten en ontwerp, wat duidt op gedeelde functionele vereisten van de operators. Dit is niet ongebruikelijk in het Chinese malwarelandschap.”

Het nieuwe rapport zegt dat de ontwikkelingspraktijken van Lua, evenals de adoptie van de Keyplug-achterdeur, lijken te zijn gedeeld met de in China gevestigde dreigingsacteur STORM-08/Red Dev 40, eveneens bekend vanwege zijn aanvallen op telecombedrijven in het Midden-Oosten en Zuid-Azië.

Chinese APT-koppelingen

Het rapport voegde eraan toe dat een Mandiant-team voor het eerst de Keyplug-achterdeur wordt gebruikt Door de bekende Chinese groep APT41 in maart 2022. Bovendien ontdekten de teams van Microsoft en PwC dat de Keyplug-achterdeur werd doorgegeven aan meerdere extra Chinese dreigingsgroepen, aldus het rapport.

De nieuwste Keyplug-malware geeft de groep volgens de onderzoekers een nieuw voordeel met nieuwe verduisteringstools.

“Ze onderscheiden STORM-0866/Red Dev 40 van de andere clusters op basis van specifieke malwarekenmerken, zoals unieke encryptiesleutels voor KEYPLUG command-and-control (C2) communicatie, en een hoger gevoel van operationele veiligheid, zoals het vertrouwen op cloud -gebaseerde reverse proxy-infrastructuur voor het verbergen van de echte hostinglocaties van hun C2-servers”, aldus het rapport.

Analyse van de C2-opstelling en de malwarevarianten LuaDream en Keyplug toonden overlappingen aan, “wat duidt op gedeelde functionele vereisten van hun operators”, voegde de onderzoekers eraan toe.

Een groeiende, effectieve samenwerking tussen een groeiende doolhof van Chinese APT-groepen vereist een soortgelijke kennisuitwisseling tussen de cyberbeveiligingsgemeenschap, aldus het rapport.

“De samenstellende dreigingsactoren zullen vrijwel zeker blijven samenwerken en coördineren, en nieuwe benaderingen onderzoeken om de functionaliteit, flexibiliteit en stealth van hun malware te verbeteren”, aldus het rapport. “De adoptie van het Lua-ontwikkelingsparadigma is hiervan een overtuigende illustratie. Navigeren door het dreigingslandschap vraagt ​​om voortdurende samenwerking en het delen van informatie binnen de onderzoeksgemeenschap voor bedreigingsinformatie.”

Tijdstempel:

Meer van Donkere lezing