Powszechne złośliwe oprogramowanie skłoniło grupę badaczy do powiązania niegdyś tajemniczej grupy zagrożeń Sandman, znanej z cyberataków na dostawców usług telekomunikacyjnych na całym świecie, z rosnącą siecią wspieranych przez chiński rząd grup zaawansowanych trwałych zagrożeń (APT).
Połączenia ocena inteligencji zagrożeń jest wynikiem współpracy firm Microsoft, SentinelLabs i PwC i oferuje zaledwie mały wgląd w ogólną złożoność i zakres Chiński APT Zdaniem badaczy krajobraz zagrożeń.
Sandmana po raz pierwszy zidentyfikowano w sierpniu po serii ataków cyberataki na firmy telekomunikacyjne na Bliskim Wschodzie, w Europie Zachodniej i Azji Południowej, które w szczególności wykorzystywały backdoora o nazwie „LuaDream” opartego na języku programowania Lua, a także backdoora o nazwie „Keyplug” zaimplementowanego w C++.
SentinelOne stwierdził jednak, że jego analitycy nie byli w stanie zidentyfikować pochodzenia tej grupy zagrożeń – aż do teraz.
„Przeanalizowane przez nas próbki nie mają wspólnych wskaźników, które z pewnością sklasyfikowałyby je jako blisko powiązane lub pochodzące z tego samego źródła, takich jak użycie identycznych kluczy szyfrujących lub bezpośrednie pokrywanie się implementacji” – wykazały nowe badania. „Zaobserwowaliśmy jednak wskaźniki wspólnych praktyk programistycznych oraz pewne nakładanie się funkcjonalności i projektu, co sugeruje wspólne wymagania funkcjonalne operatorów. Nie jest to rzadkością w chińskim krajobrazie szkodliwego oprogramowania.”
Z nowego raportu wynika, że praktyki rozwojowe Lua, a także przyjęcie backdoora Keyplug wydają się być udostępniane chińskiemu ugrupowaniu zagrażającemu STORM-08/Red Dev 40, znanemu podobnie z atakowania firm telekomunikacyjnych na Bliskim Wschodzie i w Azji Południowej.
Chińskie linki APT
W raporcie dodano, że zespół Mandianta jako pierwszy zgłosił sprawę Używane jest tylne wejście Keyplug przez znana chińska grupa APT41 w marcu 2022 r. Ponadto zespoły Microsoft i PwC stwierdziły, że backdoor Keyplug był przekazywany przez wiele dodatkowych chińskich grup zagrożeń – dodał.
Zdaniem badaczy najnowsze szkodliwe oprogramowanie Keyplug zapewnia grupie nową przewagę dzięki nowym narzędziom zaciemniającym.
„Odróżniają STORM-0866/Red Dev 40 od innych klastrów na podstawie specyficznych cech złośliwego oprogramowania, takich jak unikalne klucze szyfrowania do komunikacji typu Command-and-Control (C2) KEYPLUG oraz wyższe poczucie bezpieczeństwa operacyjnego, takie jak poleganie na chmurze oparta na infrastrukturze odwrotnego proxy do ukrywania prawdziwych lokalizacji serwerów C2” – wynika z raportu.
Analiza konfiguracji C2 oraz odmian złośliwego oprogramowania LuaDream i Keyplug wykazała nakładanie się elementów, „co sugeruje wspólne wymagania funkcjonalne ich operatorów” – dodali badacze.
Rosnąca, efektywna współpraca pomiędzy rozszerzający się labirynt chińskich grup APT W raporcie dodano, że wymaga podobnego dzielenia się wiedzą wśród społeczności zajmującej się cyberbezpieczeństwem.
„Podmioty tworzące zagrożenie prawie na pewno będą nadal współpracować i koordynować działania, badając nowe podejścia do ulepszania funkcjonalności, elastyczności i ukrywania swojego szkodliwego oprogramowania” – czytamy w raporcie. „Przyjęcie paradygmatu programowania Lua jest tego przekonującą ilustracją. Poruszanie się po krajobrazie zagrożeń wymaga ciągłej współpracy i wymiany informacji w ramach społeczności badawczej zajmującej się analizą zagrożeń”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/threat-intelligence/microsoft-mystery-group-targeting-telcos-chinese-apts
- :ma
- :Jest
- :nie
- 2022
- 40
- a
- Zdolny
- Stosownie
- w poprzek
- aktorzy
- w dodatku
- dodatek
- Dodatkowy
- Przyjęcie
- zaawansowany
- zaawansowane trwałe zagrożenie
- Korzyść
- przed
- prawie
- wśród
- an
- analitycy
- analizowane
- i
- zjawić się
- awanse
- APT
- na około
- AS
- Azja
- Sierpnia
- z powrotem
- tylne drzwi
- na podstawie
- być
- jest
- pomiędzy
- obie
- szerokość
- by
- C + +
- nazywa
- Połączenia
- na pewno
- Charakterystyka
- chiński
- Klasyfikuj
- dokładnie
- współpraca
- Komunikacja
- społeczność
- zniewalający
- kompleksowość
- ufnie
- składnik
- kontynuować
- ciągły
- WSPÓŁPRACOWAĆ
- koordynować
- cyberataki
- Bezpieczeństwo cybernetyczne
- Wnętrze
- dev
- oprogramowania
- kierować
- rozróżniać
- do
- Wschód
- Efektywne
- szyfrowanie
- Eter (ETH)
- Europie
- Exploring
- i terminów, a
- Elastyczność
- następujący
- W razie zamówieenia projektu
- znaleziono
- od
- funkcjonalny
- funkcjonalności
- Funkcjonalność
- Ogólne
- daje
- Dojrzeć
- Zarządzanie
- Grupy
- Rozwój
- Have
- wyższy
- Hosting
- Jednak
- HTTPS
- identiques
- zidentyfikowane
- tożsamość
- realizacja
- realizowane
- in
- wskaźniki
- Informacja
- Infrastruktura
- Inteligencja
- najnowszych
- JEGO
- jpg
- właśnie
- Klawisze
- znany
- krajobraz
- język
- firmy
- Doprowadziło
- LINK
- powiązany
- lokalizacji
- malware
- March
- Microsoft
- Środkowy
- Bliski Wschód
- wielokrotność
- tajemniczy
- Tajemnica
- żeglujący
- Nowości
- szczególnie
- już dziś
- zauważony
- of
- Oferty
- on
- pewnego razu
- operacyjny
- operatorzy
- or
- pochodzący
- Początki
- Inne
- paradygmat
- minęło
- plato
- Analiza danych Platona
- PlatoDane
- praktyki
- Programowanie
- dostawców
- pełnomocnik
- PWC
- związane z
- opierając się
- raport
- Zgłoszone
- wymagania
- Wymaga
- Badania naukowe
- Społeczność Badania
- Badacze
- dalsze
- rewers
- s
- Powiedział
- taki sam
- mówią
- bezpieczeństwo
- rozsądek
- Strażnik Jeden
- Serie
- serwery
- usługa
- usługodawcy
- ustawienie
- Share
- shared
- dzielenie
- pokazał
- podobny
- Podobnie
- mały
- kilka
- Źródło
- Południe
- specyficzny
- bezpośredni
- Odmiany Konopi
- taki
- T
- kierowania
- zespół
- Zespoły
- Telecom
- że
- Połączenia
- świat
- ich
- Im
- one
- to
- groźba
- podmioty grożące
- inteligencja zagrożeń
- do
- narzędzia
- prawdziwy
- Niezwykły
- wyjątkowy
- aż do
- uaktualnienie
- posługiwać się
- używany
- była
- we
- sieć
- DOBRZE
- Western
- Europa Zachodnia
- który
- będzie
- w
- w ciągu
- świat
- by
- zefirnet