Microsoft: Mystery Group som riktar in sig på teletjänster kopplade till kinesiska APT

Vanlig skadlig programvara har fått en grupp forskare att länka den en gång mystiska Sandman-hotgruppen, känd för cyberattacker mot leverantörer av telekomtjänster över hela världen, till ett växande nät av kinesiska regeringsstödda grupper av avancerade persistent hot (APT).

Smakämnen hotunderrättelsebedömning är resultatet av ett samarbete mellan Microsoft, SentinelLabs och PwC, och ger bara en liten inblick i den allmänna komplexiteten och bredden av Kinesiska APT hotbild, enligt forskarna.

Sandman identifierades först i augusti, efter en serie av cyberattacker mot teleföretag över Mellanöstern, Västeuropa och Sydasien, som framför allt använde en bakdörr som heter "LuaDream" baserad på programmeringsspråket Lua, samt en bakdörr som heter "Keyplug", implementerad i C++.

SentinelOne sa dock att dess analytiker inte kunde identifiera hotgruppens ursprung - förrän nu.

"Proven som vi analyserade delar inte enkla indikatorer som med säkerhet skulle klassificera dem som närbesläktade eller härrörande från samma källa, såsom användning av identiska krypteringsnycklar eller direkta överlappningar i implementeringen", fann den nya forskningen. "Men vi observerade indikatorer på delade utvecklingsmetoder och vissa överlappningar i funktionalitet och design, vilket tyder på gemensamma funktionskrav från operatörerna. Detta är inte ovanligt i det kinesiska malware-landskapet."

Den nya rapporten säger att utvecklingsmetoderna för Lua, såväl som införandet av Keyplug-bakdörren, verkar ha delats med den Kina-baserade hotaktören STORM-08/Red Dev 40, på samma sätt känd för att rikta in sig på telekomföretag i Mellanöstern och Sydasien.

Kinesiska APT-länkar

Rapporten tillade att ett Mandiant-team först rapporterade Keyplug bakdörr används genom att känd kinesisk grupp APT41 tillbaka i mars 2022. Dessutom fann Microsoft och PwC-team att Keyplug-bakdörren skickades runt flera ytterligare kinesisk-baserade hotgrupper, tillade rapporten.

Den senaste Keyplug malware ger gruppen en ny fördel, enligt forskarna, med nya obfuskeringsverktyg.

"De skiljer STORM-0866/Red Dev 40 från de andra klustren baserat på specifika skadliga egenskaper, såsom unika krypteringsnycklar för KEYPLUG kommando-och-kontroll (C2) kommunikation, och en högre känsla av driftsäkerhet, som att förlita sig på moln -baserad omvänd proxy-infrastruktur för att dölja de sanna värdplatserna för deras C2-servrar”, enligt rapporten.

Analys av C2-installationen och både LuaDream och Keyplug skadlig programvara visade överlappningar, "som tyder på delade funktionskrav från deras operatörer", tillade forskarna.

Växande, effektivt samarbete mellan en expanderande labyrint av kinesiska APT-grupper kräver liknande kunskapsdelning bland cybersäkerhetsgemenskapen, tillade rapporten.

"Dess ingående hotaktörer kommer med största sannolikhet att fortsätta att samarbeta och koordinera, utforska nya tillvägagångssätt för att uppgradera funktionaliteten, flexibiliteten och smygigheten hos deras skadliga program", heter det i rapporten. "Antagandet av Lua-utvecklingsparadigmet är en övertygande illustration av detta. Att navigera i hotlandskapet kräver kontinuerligt samarbete och informationsutbyte inom forskarsamhället för hotintelligens.”

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/threat-intelligence/microsoft-mystery-group-targeting-telcos-chinese-apts