Распространенное вредоносное ПО побудило группу исследователей связать некогда загадочную группу угроз Sandman, известную кибератаками на поставщиков телекоммуникационных услуг по всему миру, с растущей сетью поддерживаемых китайским правительством групп современных постоянных угроз (APT).
Ассоциация оценка разведки угроз является результатом сотрудничества Microsoft, SentinelLabs и PwC и дает лишь небольшое представление об общей сложности и широте Китайский АПП По мнению исследователей, ландшафт угроз.
Песочный человек был впервые идентифицирован в августе после серии кибератаки на телекоммуникационные компании на Ближнем Востоке, в Западной Европе и Южной Азии, где, в частности, использовался бэкдор под названием «LuaDream», основанный на языке программирования Lua, а также бэкдор под названием «Keyplug», реализованный на C++.
Однако в SentinelOne заявили, что ее аналитикам до сих пор не удалось определить происхождение этой группы угроз.
«Образцы, которые мы проанализировали, не имеют общих показателей, которые могли бы с уверенностью классифицировать их как тесно связанные или происходящие из одного и того же источника, например, использование идентичных ключей шифрования или прямое совпадение в реализации», — говорится в новом исследовании. «Тем не менее, мы заметили признаки общих методов разработки и некоторые совпадения в функциональности и дизайне, что позволяет предположить общие функциональные требования операторов. Это не редкость в китайской среде вредоносного ПО».
В новом отчете говорится, что методы разработки Lua, а также внедрение бэкдора Keyplug, по-видимому, были переданы китайскому злоумышленнику STORM-08/Red Dev 40, также известному своими нападениями на телекоммуникационные компании на Ближнем Востоке и в Южной Азии.
Китайские APT-ссылки
В отчете добавлено, что команда Mandiant первой сообщила о Используется бэкдор с ключом не провела обыск известная китайская группа APT41 еще в марте 2022 года. Кроме того, команды Microsoft и PwC обнаружили, что бэкдор Keyplug распространялся среди нескольких дополнительных групп угроз в Китае, добавлено в отчете.
По мнению исследователей, последняя вредоносная программа Keyplug дает группе новое преимущество благодаря новым инструментам запутывания.
«Они отличают STORM-0866/Red Dev 40 от других кластеров на основе конкретных характеристик вредоносного ПО, таких как уникальные ключи шифрования для связи управления и контроля KEYPLUG (C2), а также более высокий уровень операционной безопасности, например, использование облака. инфраструктура обратного прокси-сервера для сокрытия истинного местоположения своих серверов C2», — говорится в отчете.
Анализ установки C2 и штаммов вредоносного ПО LuaDream и Keyplug выявил совпадение, «предполагающее наличие общих функциональных требований у их операторов», добавили исследователи.
Растущее и эффективное сотрудничество между расширяющийся лабиринт китайских APT-групп требует аналогичного обмена знаниями среди сообщества кибербезопасности, говорится в отчете.
«Входящие в него субъекты угроз почти наверняка продолжат сотрудничать и координировать свои действия, изучая новые подходы к повышению функциональности, гибкости и скрытности своих вредоносных программ», — говорится в отчете. «Принятие парадигмы разработки Lua является убедительной иллюстрацией этого. Навигация по ландшафту угроз требует постоянного сотрудничества и обмена информацией внутри исследовательского сообщества по анализу угроз».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/threat-intelligence/microsoft-mystery-group-targeting-telcos-chinese-apts
- :имеет
- :является
- :нет
- 2022
- 40
- a
- в состоянии
- По
- через
- актеры
- добавленный
- дополнение
- дополнительный
- Принятие
- продвинутый
- постоянная постоянная угроза
- плюс
- против
- почти
- среди
- an
- Аналитики
- проанализированы
- и
- появиться
- подходы
- APT
- около
- AS
- Азия
- Август
- назад
- задняя дверь
- основанный
- было
- не являетесь
- между
- изоферменты печени
- ширина
- by
- C + +
- под названием
- Объявления
- конечно
- характеристика
- китайский
- классифицировать
- тесно
- сотрудничество
- Связь
- сообщество
- неотразимый
- сложность
- уверенно
- составной
- продолжать
- (CIJ)
- СОТРУДНИЧАТЬ
- координировать
- кибератаки
- Информационная безопасность
- Проект
- Дев
- Развитие
- направлять
- выделить
- do
- восток
- Эффективный
- шифрование
- Эфир (ETH)
- Европе
- Исследование
- Во-первых,
- Трансформируемость
- после
- Что касается
- найденный
- от
- функциональная
- функциональные возможности
- функциональность
- Общие
- дает
- проблеск
- группы
- Группы
- Рост
- Есть
- высший
- хостинг
- Однако
- HTTPS
- идентичный
- идентифицированный
- Личность
- реализация
- в XNUMX году
- in
- индикаторы
- информация
- Инфраструктура
- Интеллекта
- в
- ЕГО
- JPG
- всего
- ключи
- известный
- пейзаж
- язык
- последний
- привело
- LINK
- связанный
- места
- вредоносных программ
- Март
- Microsoft
- средняя
- Ближний Восток
- с разными
- таинственный
- Тайна
- навигационный
- Новые
- особенно
- сейчас
- наблюдается
- of
- Предложения
- on
- консолидировать
- оперативный
- Операторы
- or
- Возникнув
- происхождения
- Другое
- парадигма
- Прошло
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- практиками
- Программирование
- поставщики
- полномочие
- PWC
- Связанный
- опираясь
- отчету
- Сообщается
- Требования
- требуется
- исследованиям
- Научно-исследовательское сообщество
- исследователи
- результат
- обратный
- s
- Сказал
- то же
- говорит
- безопасность
- смысл
- SentinelOne
- Серии
- серверы
- обслуживание
- поставщики услуг
- установка
- Поделиться
- общие
- разделение
- показал
- аналогичный
- Аналогичным образом
- небольшой
- некоторые
- Источник
- Южная
- конкретный
- простой
- деформации
- такие
- T
- направлены
- команда
- команды
- телеком
- который
- Ассоциация
- мир
- их
- Их
- они
- этой
- угроза
- актеры угрозы
- разведка угроз
- в
- инструменты
- правда
- Обычный
- созданного
- до
- модернизация
- использование
- используемый
- законопроект
- we
- Web
- ЧТО Ж
- западный
- западная Европа
- который
- будете
- в
- Мир
- бы
- зефирнет