Microsoft: Mystery Group Targeting Telcos Linked to Chinese APTs

Microsoft: Mystery Group Targeting Telcos Linked to Chinese APTs

Marca temporală: 11 decembrie 2023, ora 11:00
Nodul sursă: 3008079

Programele malware comune au determinat un grup de cercetători să conecteze grupul de amenințări Sandman, cândva misterios, cunoscut pentru atacurile cibernetice împotriva furnizorilor de servicii de telecomunicații din întreaga lume, cu o rețea în creștere de grupuri de amenințări persistente avansate (APT) susținute de guvernul chinez.

evaluarea informațiilor despre amenințări este rezultatul unei colaborări între Microsoft, SentinelLabs și PwC și oferă doar o mică privire asupra complexității și amplorii generale a APT chinezesc peisajul amenințărilor, potrivit cercetătorilor.

Sandman a fost identificat pentru prima dată în august, după o serie de atacuri cibernetice asupra companiilor de televiziune în Orientul Mijlociu, Europa de Vest și Asia de Sud, care a folosit în special o ușă din spate numită „LuaDream” bazată pe limbajul de programare Lua, precum și o ușă din spate numită „Keyplug”, implementată în C++.

Cu toate acestea, SentinelOne a spus că analiștii săi nu au fost capabili să identifice originile grupului de amenințare – până acum.

„Eșantioanele pe care le-am analizat nu împărtășesc indicatori simpli care să le clasifice cu încredere ca fiind strâns legate sau provenind din aceeași sursă, cum ar fi utilizarea cheilor de criptare identice sau suprapunerile directe în implementare”, a constatat noua cercetare. „Cu toate acestea, am observat indicatori ai practicilor de dezvoltare comune și unele suprapuneri în funcționalități și design, sugerând cerințe funcționale comune de către operatori. Acest lucru nu este neobișnuit în peisajul malware din China.”

Noul raport spune că practicile de dezvoltare Lua, precum și adoptarea ușii din spate Keyplug, par să fi fost împărtășite cu actorul de amenințări din China STORM-08/Red Dev 40, cunoscut în mod similar pentru că vizează companiile de telecomunicații din Orientul Mijlociu și Asia de Sud.

Link-uri APT chineze

Raportul a adăugat că o echipă Mandiant a raportat prima dată Ușa din spate a cheii este utilizată langa cunoscut grupul chinez APT41 în martie 2022. În plus, echipele Microsoft și PwC au descoperit că ușa din spate Keyplug a fost transmisă mai multor grupuri suplimentare de amenințări bazate pe China, se adaugă raportul.

Cel mai recent program malware Keyplug oferă grupului un nou avantaj, potrivit cercetătorilor, cu noi instrumente de ofuscare.

„Ei disting STORM-0866/Red Dev 40 de celelalte clustere pe baza caracteristicilor specifice malware, cum ar fi cheile de criptare unice pentru comunicarea de comandă și control (C2) KEYPLUG și un sentiment mai ridicat de securitate operațională, cum ar fi baza pe cloud. Infrastructură proxy inversă bazată pe ascunderea adevăratelor locații de găzduire ale serverelor lor C2”, potrivit raportului.

Analiza configurației C2 și a tulpinilor de malware LuaDream și Keyplug au arătat suprapuneri, „sugerând cerințe funcționale comune de către operatorii lor”, au adăugat cercetătorii.

Colaborare în creștere, eficientă între an labirint în expansiune de grupuri APT chineze necesită un schimb similar de cunoștințe între comunitatea de securitate cibernetică, a adăugat raportul.

„Actorii săi constitutivi ai amenințărilor vor continua aproape sigur să coopereze și să se coordoneze, explorând noi abordări pentru a îmbunătăți funcționalitatea, flexibilitatea și caracterul ascuns al malware-ului lor”, se arată în raport. „Adoptarea paradigmei de dezvoltare Lua este o ilustrare convingătoare a acestui lucru. Navigarea în peisajul amenințărilor necesită colaborare continuă și schimb de informații în cadrul comunității de cercetare a informațiilor despre amenințări.”

Timestamp-ul:

Mai mult de la Lectură întunecată