Microsoft: загадочная группа нацелена на телекоммуникационные компании, связанные с китайскими APT

Распространенное вредоносное ПО побудило группу исследователей связать некогда загадочную группу угроз Sandman, известную кибератаками на поставщиков телекоммуникационных услуг по всему миру, с растущей сетью поддерживаемых китайским правительством групп современных постоянных угроз (APT).

Ассоциация оценка разведки угроз является результатом сотрудничества Microsoft, SentinelLabs и PwC и дает лишь небольшое представление об общей сложности и широте Китайский АПП По мнению исследователей, ландшафт угроз.

Песочный человек был впервые идентифицирован в августе после серии кибератаки на телекоммуникационные компании на Ближнем Востоке, в Западной Европе и Южной Азии, где, в частности, использовался бэкдор под названием «LuaDream», основанный на языке программирования Lua, а также бэкдор под названием «Keyplug», реализованный на C++.

Однако в SentinelOne заявили, что ее аналитикам до сих пор не удалось определить происхождение этой группы угроз.

«Образцы, которые мы проанализировали, не имеют общих показателей, которые могли бы с уверенностью классифицировать их как тесно связанные или происходящие из одного и того же источника, например, использование идентичных ключей шифрования или прямое совпадение в реализации», — говорится в новом исследовании. «Тем не менее, мы заметили признаки общих методов разработки и некоторые совпадения в функциональности и дизайне, что позволяет предположить общие функциональные требования операторов. Это не редкость в китайской среде вредоносного ПО».

В новом отчете говорится, что методы разработки Lua, а также внедрение бэкдора Keyplug, по-видимому, были переданы китайскому злоумышленнику STORM-08/Red Dev 40, также известному своими нападениями на телекоммуникационные компании на Ближнем Востоке и в Южной Азии.

Китайские APT-ссылки

В отчете добавлено, что команда Mandiant первой сообщила о Используется бэкдор с ключом не провела обыск известная китайская группа APT41 еще в марте 2022 года. Кроме того, команды Microsoft и PwC обнаружили, что бэкдор Keyplug распространялся среди нескольких дополнительных групп угроз в Китае, добавлено в отчете.

По мнению исследователей, последняя вредоносная программа Keyplug дает группе новое преимущество благодаря новым инструментам запутывания.

«Они отличают STORM-0866/Red Dev 40 от других кластеров на основе конкретных характеристик вредоносного ПО, таких как уникальные ключи шифрования для связи управления и контроля KEYPLUG (C2), а также более высокий уровень операционной безопасности, например, использование облака. инфраструктура обратного прокси-сервера для сокрытия истинного местоположения своих серверов C2», — говорится в отчете.

Анализ установки C2 и штаммов вредоносного ПО LuaDream и Keyplug выявил совпадение, «предполагающее наличие общих функциональных требований у их операторов», добавили исследователи.

Растущее и эффективное сотрудничество между расширяющийся лабиринт китайских APT-групп требует аналогичного обмена знаниями среди сообщества кибербезопасности, говорится в отчете.

«Входящие в него субъекты угроз почти наверняка продолжат сотрудничать и координировать свои действия, изучая новые подходы к повышению функциональности, гибкости и скрытности своих вредоносных программ», — говорится в отчете. «Принятие парадигмы разработки Lua является убедительной иллюстрацией этого. Навигация по ландшафту угроз требует постоянного сотрудничества и обмена информацией внутри исследовательского сообщества по анализу угроз».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/threat-intelligence/microsoft-mystery-group-targeting-telcos-chinese-apts