Microsoft: Mystery Group som målretter teletjenester knyttet til kinesiske APT-er

Vanlig skadelig programvare har ført til at en gruppe forskere har koblet den en gang så mystiske Sandman-trusselgruppen, kjent for nettangrep mot telekomtjenesteleverandører over hele verden, til et voksende nett av kinesiske regjeringsstøttede avanserte vedvarende trusselgrupper (APT).

De trusseletterretningsvurdering er resultatet av et samarbeid mellom Microsoft, SentinelLabs og PwC, og gir bare et lite innblikk i den generelle kompleksiteten og bredden i Kinesisk APT trussellandskap, ifølge forskerne.

Sandman ble først identifisert i august, etter en serie med nettangrep på teleselskaper over Midtøsten, Vest-Europa og Sør-Asia, som spesielt brukte en bakdør kalt "LuaDream" basert på programmeringsspråket Lua, samt en bakdør kalt "Keyplug," implementert i C++.

SentinelOne sa imidlertid at analytikerne ikke var i stand til å identifisere trusselgruppens opprinnelse - før nå.

"Eksemplene som vi analyserte deler ikke enkle indikatorer som med sikkerhet vil klassifisere dem som nært beslektede eller stammer fra samme kilde, for eksempel bruk av identiske krypteringsnøkler eller direkte overlapping i implementeringen," fant den nye forskningen. "Men vi observerte indikatorer for delt utviklingspraksis og noen overlappinger i funksjonalitet og design, noe som tyder på delte funksjonskrav fra operatørene. Dette er ikke uvanlig i det kinesiske skadevarelandskapet.»

Den nye rapporten sier at Lua-utviklingspraksis, samt adopsjon av Keyplug-bakdøren, ser ut til å ha blitt delt med den Kina-baserte trusselaktøren STORM-08/Red Dev 40, på samme måte kjent for å målrette teleselskaper i Midtøsten og Sør-Asia.

Kinesiske APT-koblinger

Rapporten la til at et Mandiant-team først rapporterte om Keyplugg bakdør brukes ved kjent kinesisk gruppe APT41 tilbake i mars 2022. I tillegg fant teamene fra Microsoft og PwC at Keyplug-bakdøren ble sendt rundt flere kinesisk-baserte trusselgrupper, la rapporten til.

Den nyeste Keyplug malware gir gruppen en ny fordel, ifølge forskerne, med nye obfuskeringsverktøy.

"De skiller STORM-0866/Red Dev 40 fra de andre klyngene basert på spesifikke skadevareegenskaper, for eksempel unike krypteringsnøkler for KEYPLUG kommando-og-kontroll (C2) kommunikasjon, og en høyere følelse av operasjonell sikkerhet, for eksempel å stole på skyen -basert omvendt proxy-infrastruktur for å skjule de sanne vertsplasseringene til deres C2-servere," ifølge rapporten.

Analyse av C2-oppsettet og både LuaDream- og Keyplug-malware-stammer viste overlapping, "som tyder på delte funksjonelle krav fra operatørene deres," la forskerne til.

Voksende, effektivt samarbeid mellom en ekspanderende labyrint av kinesiske APT-grupper krever lignende kunnskapsdeling blant nettsikkerhetssamfunnet, la rapporten til.

"Trusselaktørene som utgjør dens innbyggere vil nesten helt sikkert fortsette å samarbeide og koordinere, og utforske nye tilnærminger for å oppgradere funksjonaliteten, fleksibiliteten og snikheten til deres skadevare," heter det i rapporten. «Adopsjonen av Lua-utviklingsparadigmet er en overbevisende illustrasjon på dette. Å navigere i trussellandskapet krever kontinuerlig samarbeid og informasjonsdeling innenfor forskningsmiljøet for trusselintelligens."

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/threat-intelligence/microsoft-mystery-group-targeting-telcos-chinese-apts