O malware comum levou um grupo de pesquisadores a vincular o outrora misterioso grupo de ameaças Sandman, conhecido por ataques cibernéticos contra provedores de serviços de telecomunicações em todo o mundo, a uma rede crescente de grupos de ameaças persistentes avançadas (APT) apoiados pelo governo chinês.
A avaliação de inteligência de ameaças é o resultado de uma colaboração entre Microsoft, SentinelLabs e PwC e oferece apenas uma pequena visão da complexidade geral e da amplitude do APT Chinês cenário de ameaças, de acordo com os pesquisadores.
Sandman foi identificado pela primeira vez em agosto, após uma série de ataques cibernéticos em empresas de telecomunicações em todo o Oriente Médio, Europa Ocidental e Sul da Ásia, que usaram notavelmente um backdoor chamado “LuaDream” baseado na linguagem de programação Lua, bem como um backdoor chamado “Keyplug”, implementado em C++.
No entanto, o SentinelOne disse que seus analistas não foram capazes de identificar as origens do grupo ameaçador – até agora.
“As amostras que analisamos não compartilham indicadores simples que as classificariam com segurança como intimamente relacionadas ou originárias da mesma fonte, como o uso de chaves de criptografia idênticas ou sobreposições diretas na implementação”, concluiu a nova pesquisa. “No entanto, observámos indicadores de práticas de desenvolvimento partilhadas e algumas sobreposições em funcionalidades e design, sugerindo requisitos funcionais partilhados pelos operadores. Isso não é incomum no cenário de malware chinês.”
O novo relatório diz que as práticas de desenvolvimento de Lua, bem como a adoção do backdoor Keyplug, parecem ter sido compartilhadas com o ator de ameaças baseado na China STORM-08/Red Dev 40, igualmente conhecido por ter como alvo empresas de telecomunicações no Oriente Médio e no Sul da Ásia.
Links APT chineses
O relatório acrescentou que uma equipe da Mandiant relatou pela primeira vez o Backdoor do keyplug sendo usado pelo conhecido grupo chinês APT41 em março de 2022. Além disso, as equipes da Microsoft e da PwC descobriram que o backdoor Keyplug estava sendo repassado a vários grupos de ameaças adicionais baseados na China, acrescentou o relatório.
O mais recente malware Keyplug dá ao grupo uma nova vantagem, segundo os pesquisadores, com novas ferramentas de ofuscação.
“Eles distinguem STORM-0866/Red Dev 40 de outros clusters com base em características específicas de malware, como chaves de criptografia exclusivas para comunicação de comando e controle (C2) KEYPLUG e uma maior sensação de segurança operacional, como confiar na nuvem baseada em infraestrutura de proxy reverso para ocultar os verdadeiros locais de hospedagem de seus servidores C2”, de acordo com o relatório.
A análise da configuração C2 e das cepas de malware LuaDream e Keyplug mostrou sobreposições, “sugerindo requisitos funcionais compartilhados por seus operadores”, acrescentaram os pesquisadores.
Colaboração crescente e eficaz entre um labirinto em expansão de grupos APT chineses requer compartilhamento de conhecimento semelhante entre a comunidade de segurança cibernética, acrescentou o relatório.
“Seus atores de ameaças constituintes quase certamente continuarão a cooperar e coordenar, explorando novas abordagens para atualizar a funcionalidade, flexibilidade e furtividade de seu malware”, afirma o relatório. “A adoção do paradigma de desenvolvimento Lua é uma ilustração convincente disso. Navegar no cenário de ameaças exige colaboração contínua e compartilhamento de informações dentro da comunidade de pesquisa de inteligência de ameaças.”
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/threat-intelligence/microsoft-mystery-group-targeting-telcos-chinese-apts
- :tem
- :é
- :não
- 2022
- 40
- a
- Capaz
- Segundo
- em
- atores
- adicionado
- Adição
- Adicional
- Adoção
- avançado
- Ameaça persistente avançada
- Vantagem
- contra
- quase
- entre
- an
- Analistas
- analisado
- e
- aparecer
- se aproxima
- APT
- por aí
- AS
- Ásia
- AGOSTO
- em caminho duplo
- Porta dos fundos
- baseado
- sido
- ser
- entre
- ambos
- largura
- by
- C + +
- chamado
- chamadas
- certamente
- características
- chinês
- classificar
- de perto
- colaboração
- Comunicação
- comunidade
- atraente
- complexidade
- com confiança
- constituinte
- continuar
- contínuo
- COLABORAR
- coordenar
- ataques cibernéticos
- Cíber segurança
- Design
- Dev
- Desenvolvimento
- diretamente
- distinguir
- do
- Leste
- Eficaz
- criptografia
- Éter (ETH)
- Europa
- Explorando
- Primeiro nome
- Flexibilidade
- seguinte
- Escolha
- encontrado
- da
- funcional
- funcionalidades
- funcionalidade
- Geral
- dá
- Vislumbre
- Grupo
- Do grupo
- Crescente
- Ter
- superior
- hospedagem
- Contudo
- HTTPS
- idêntico
- identificado
- Identidade
- implementação
- implementado
- in
- indicadores
- INFORMAÇÕES
- Infraestrutura
- Inteligência
- para dentro
- ESTÁ
- jpg
- apenas por
- chaves
- conhecido
- paisagem
- língua
- mais recente
- levou
- LINK
- ligado
- locais
- malwares
- Março
- Microsoft
- Coração
- Médio Oriente
- múltiplo
- misterioso
- Mistério
- navegação
- Novo
- notavelmente
- agora
- observado
- of
- Oferece
- on
- uma vez
- operacional
- operadores
- or
- originário
- origens
- Outros
- paradigma
- passou
- platão
- Inteligência de Dados Platão
- PlatãoData
- práticas
- Programação
- fornecedores
- procuração
- PWC
- relacionado
- contando
- Denunciar
- Informou
- Requisitos
- exige
- pesquisa
- Investigação da Comunidade
- pesquisadores
- resultar
- reverso
- s
- Dito
- mesmo
- diz
- segurança
- sentido
- Sentinela Um
- Série
- Servidores
- serviço
- provedores de serviço
- instalação
- Partilhar
- compartilhado
- compartilhando
- mostrou
- semelhante
- Similarmente
- pequeno
- alguns
- fonte
- Sul
- específico
- franco
- Estirpes
- tal
- T
- alvejando
- Profissionais
- equipes
- telecom
- que
- A
- o mundo
- deles
- Eles
- deles
- isto
- ameaça
- atores de ameaças
- inteligência de ameaças
- para
- ferramentas
- verdadeiro
- Incomum
- único
- até
- atualização
- usar
- usava
- foi
- we
- web
- BEM
- Ocidental
- Europa Ocidental
- qual
- precisarão
- de
- dentro
- mundo
- seria
- zefirnet