Microsoft: tajemnicza grupa atakująca firmy telekomunikacyjne powiązana z chińskimi APT

Powszechne złośliwe oprogramowanie skłoniło grupę badaczy do powiązania niegdyś tajemniczej grupy zagrożeń Sandman, znanej z cyberataków na dostawców usług telekomunikacyjnych na całym świecie, z rosnącą siecią wspieranych przez chiński rząd grup zaawansowanych trwałych zagrożeń (APT).

Połączenia ocena inteligencji zagrożeń jest wynikiem współpracy firm Microsoft, SentinelLabs i PwC i oferuje zaledwie mały wgląd w ogólną złożoność i zakres Chiński APT Zdaniem badaczy krajobraz zagrożeń.

Sandmana po raz pierwszy zidentyfikowano w sierpniu po serii ataków cyberataki na firmy telekomunikacyjne na Bliskim Wschodzie, w Europie Zachodniej i Azji Południowej, które w szczególności wykorzystywały backdoora o nazwie „LuaDream” opartego na języku programowania Lua, a także backdoora o nazwie „Keyplug” zaimplementowanego w C++.

SentinelOne stwierdził jednak, że jego analitycy nie byli w stanie zidentyfikować pochodzenia tej grupy zagrożeń – aż do teraz.

„Przeanalizowane przez nas próbki nie mają wspólnych wskaźników, które z pewnością sklasyfikowałyby je jako blisko powiązane lub pochodzące z tego samego źródła, takich jak użycie identycznych kluczy szyfrujących lub bezpośrednie pokrywanie się implementacji” – wykazały nowe badania. „Zaobserwowaliśmy jednak wskaźniki wspólnych praktyk programistycznych oraz pewne nakładanie się funkcjonalności i projektu, co sugeruje wspólne wymagania funkcjonalne operatorów. Nie jest to rzadkością w chińskim krajobrazie szkodliwego oprogramowania.”

Z nowego raportu wynika, że ​​praktyki rozwojowe Lua, a także przyjęcie backdoora Keyplug wydają się być udostępniane chińskiemu ugrupowaniu zagrażającemu STORM-08/Red Dev 40, znanemu podobnie z atakowania firm telekomunikacyjnych na Bliskim Wschodzie i w Azji Południowej.

Chińskie linki APT

W raporcie dodano, że zespół Mandianta jako pierwszy zgłosił sprawę Używane jest tylne wejście Keyplug przez znana chińska grupa APT41 w marcu 2022 r. Ponadto zespoły Microsoft i PwC stwierdziły, że backdoor Keyplug był przekazywany przez wiele dodatkowych chińskich grup zagrożeń – dodał.

Zdaniem badaczy najnowsze szkodliwe oprogramowanie Keyplug zapewnia grupie nową przewagę dzięki nowym narzędziom zaciemniającym.

„Odróżniają STORM-0866/Red Dev 40 od ​​innych klastrów na podstawie specyficznych cech złośliwego oprogramowania, takich jak unikalne klucze szyfrowania do komunikacji typu Command-and-Control (C2) KEYPLUG oraz wyższe poczucie bezpieczeństwa operacyjnego, takie jak poleganie na chmurze oparta na infrastrukturze odwrotnego proxy do ukrywania prawdziwych lokalizacji serwerów C2” – wynika z raportu.

Analiza konfiguracji C2 oraz odmian złośliwego oprogramowania LuaDream i Keyplug wykazała nakładanie się elementów, „co sugeruje wspólne wymagania funkcjonalne ich operatorów” – dodali badacze.

Rosnąca, efektywna współpraca pomiędzy rozszerzający się labirynt chińskich grup APT W raporcie dodano, że wymaga podobnego dzielenia się wiedzą wśród społeczności zajmującej się cyberbezpieczeństwem.

„Podmioty tworzące zagrożenie prawie na pewno będą nadal współpracować i koordynować działania, badając nowe podejścia do ulepszania funkcjonalności, elastyczności i ukrywania swojego szkodliwego oprogramowania” – czytamy w raporcie. „Przyjęcie paradygmatu programowania Lua jest tego przekonującą ilustracją. Poruszanie się po krajobrazie zagrożeń wymaga ciągłej współpracy i wymiany informacji w ramach społeczności badawczej zajmującej się analizą zagrożeń”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/threat-intelligence/microsoft-mystery-group-targeting-telcos-chinese-apts