Microsoft: grupo misterioso direcionado a empresas de telecomunicações vinculadas a APTs chineses

Microsoft: grupo misterioso direcionado a empresas de telecomunicações vinculadas a APTs chineses

Carimbo de data / hora: 11 de dezembro de 2023 11h00
Nó Fonte: 3008079

O malware comum levou um grupo de pesquisadores a vincular o outrora misterioso grupo de ameaças Sandman, conhecido por ataques cibernéticos contra provedores de serviços de telecomunicações em todo o mundo, a uma rede crescente de grupos de ameaças persistentes avançadas (APT) apoiados pelo governo chinês.

A avaliação de inteligência de ameaças é o resultado de uma colaboração entre Microsoft, SentinelLabs e PwC e oferece apenas uma pequena visão da complexidade geral e da amplitude do APT Chinês cenário de ameaças, de acordo com os pesquisadores.

Sandman foi identificado pela primeira vez em agosto, após uma série de ataques cibernéticos em empresas de telecomunicações em todo o Oriente Médio, Europa Ocidental e Sul da Ásia, que usaram notavelmente um backdoor chamado “LuaDream” baseado na linguagem de programação Lua, bem como um backdoor chamado “Keyplug”, implementado em C++.

No entanto, o SentinelOne disse que seus analistas não foram capazes de identificar as origens do grupo ameaçador – até agora.

“As amostras que analisamos não compartilham indicadores simples que as classificariam com segurança como intimamente relacionadas ou originárias da mesma fonte, como o uso de chaves de criptografia idênticas ou sobreposições diretas na implementação”, concluiu a nova pesquisa. “No entanto, observámos indicadores de práticas de desenvolvimento partilhadas e algumas sobreposições em funcionalidades e design, sugerindo requisitos funcionais partilhados pelos operadores. Isso não é incomum no cenário de malware chinês.”

O novo relatório diz que as práticas de desenvolvimento de Lua, bem como a adoção do backdoor Keyplug, parecem ter sido compartilhadas com o ator de ameaças baseado na China STORM-08/Red Dev 40, igualmente conhecido por ter como alvo empresas de telecomunicações no Oriente Médio e no Sul da Ásia.

Links APT chineses

O relatório acrescentou que uma equipe da Mandiant relatou pela primeira vez o Backdoor do keyplug sendo usado pelo conhecido grupo chinês APT41 em março de 2022. Além disso, as equipes da Microsoft e da PwC descobriram que o backdoor Keyplug estava sendo repassado a vários grupos de ameaças adicionais baseados na China, acrescentou o relatório.

O mais recente malware Keyplug dá ao grupo uma nova vantagem, segundo os pesquisadores, com novas ferramentas de ofuscação.

“Eles distinguem STORM-0866/Red Dev 40 de outros clusters com base em características específicas de malware, como chaves de criptografia exclusivas para comunicação de comando e controle (C2) KEYPLUG e uma maior sensação de segurança operacional, como confiar na nuvem baseada em infraestrutura de proxy reverso para ocultar os verdadeiros locais de hospedagem de seus servidores C2”, de acordo com o relatório.

A análise da configuração C2 e das cepas de malware LuaDream e Keyplug mostrou sobreposições, “sugerindo requisitos funcionais compartilhados por seus operadores”, acrescentaram os pesquisadores.

Colaboração crescente e eficaz entre um labirinto em expansão de grupos APT chineses requer compartilhamento de conhecimento semelhante entre a comunidade de segurança cibernética, acrescentou o relatório.

“Seus atores de ameaças constituintes quase certamente continuarão a cooperar e coordenar, explorando novas abordagens para atualizar a funcionalidade, flexibilidade e furtividade de seu malware”, afirma o relatório. “A adoção do paradigma de desenvolvimento Lua é uma ilustração convincente disso. Navegar no cenário de ameaças exige colaboração contínua e compartilhamento de informações dentro da comunidade de pesquisa de inteligência de ameaças.”

Carimbo de hora:

Mais de Leitura escura