Microsoft: skrivnostna skupina, ki cilja na telekomunikacijska podjetja, povezana s kitajskimi APT-ji

Pogosta zlonamerna programska oprema je skupino raziskovalcev pripeljala do povezave nekdaj skrivnostne groženjske skupine Sandman, znane po kibernetskih napadih na ponudnike telekomunikacijskih storitev po vsem svetu, z rastočo mrežo skupin naprednih trajnih groženj (APT), ki jih podpira kitajska vlada.

O ocena obveščevalnih podatkov o grožnjah je rezultat sodelovanja med Microsoftom, SentinelLabs in PwC ter ponuja le majhen vpogled v splošno kompleksnost in širino Kitajski APT po mnenju raziskovalcev.

Sandman je bil prvič identificiran avgusta, po seriji kibernetski napadi na telekomunikacije po Bližnjem vzhodu, v zahodni Evropi in južni Aziji, ki je zlasti uporabljal stranska vrata, imenovana »LuaDream«, ki temelji na programskem jeziku Lua, kot tudi stranska vrata, imenovana »Keyplug«, implementirana v C++.

Vendar pa je SentinelOne dejal, da njegovi analitiki niso mogli identificirati izvora groženjske skupine - do zdaj.

"Vzorci, ki smo jih analizirali, nimajo enostavnih indikatorjev, ki bi jih zanesljivo razvrstili kot tesno povezane ali izvirajo iz istega vira, kot je uporaba identičnih šifrirnih ključev ali neposredna prekrivanja pri izvajanju," je ugotovila nova raziskava. »Vendar smo opazili kazalnike skupnih razvojnih praks in nekatera prekrivanja v funkcionalnostih in oblikovanju, kar kaže na skupne funkcionalne zahteve operaterjev. To v kitajski pokrajini zlonamerne programske opreme ni neobičajno.«

V novem poročilu je zapisano, da so se razvojne prakse Lua in sprejetje zakulisnih vrat Keyplug delili s kitajskim akterjem grožnje STORM-08/Red Dev 40, ki je podobno znan po ciljanju na telekomunikacijska podjetja na Bližnjem vzhodu in v Južni Aziji.

Kitajske APT povezave

Poročilo je dodalo, da je ekipa Mandiant prva poročala o Uporablja se zadnja vrata Keyplug z znana kitajska skupina APT41 marca 2022. Poleg tega sta ekipi Microsofta in PwC ugotovili, da se zadnja vrata Keyplug prenašajo okoli več dodatnih skupin groženj s sedežem na Kitajskem, je dodano v poročilu.

Najnovejša zlonamerna programska oprema Keyplug daje skupini novo prednost, po mnenju raziskovalcev, z novimi orodji za zamegljevanje.

»Ločijo STORM-0866/Red Dev 40 od ​​drugih gruč na podlagi specifičnih značilnosti zlonamerne programske opreme, kot so edinstveni šifrirni ključi za komunikacijo ukazov in nadzora (C2) KEYPLUG, in večji občutek varnosti delovanja, kot je zanašanje na oblak na osnovi povratne proxy infrastrukture za skrivanje resničnih lokacij gostovanja njihovih strežnikov C2,« v skladu s poročilom.

Analiza namestitve C2 ter različic zlonamerne programske opreme LuaDream in Keyplug je pokazala prekrivanja, kar "nakazuje na skupne funkcionalne zahteve njihovih operaterjev," so dodali raziskovalci.

Rastoče, učinkovito sodelovanje med an širijoč se labirint kitajskih skupin APT zahteva podobno izmenjavo znanja med skupnostjo kibernetske varnosti, dodaja poročilo.

"Njegovi sestavni akterji groženj bodo skoraj zagotovo še naprej sodelovali in se usklajevali ter raziskovali nove pristope za nadgradnjo funkcionalnosti, prilagodljivosti in prikritosti njihove zlonamerne programske opreme," je zapisano v poročilu. »Sprejetje razvojne paradigme Lua je prepričljiv prikaz tega. Krmarjenje v pokrajini groženj zahteva stalno sodelovanje in izmenjavo informacij znotraj raziskovalne skupnosti obveščanja o grožnjah.«

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/threat-intelligence/microsoft-mystery-group-targeting-telcos-chinese-apts