Microsoft: กลุ่มลึกลับกำหนดเป้าหมาย Telcos เชื่อมโยงกับ APT ของจีน

มัลแวร์ทั่วไปได้นำกลุ่มนักวิจัยเชื่อมโยงกลุ่มภัยคุกคาม Sandman ที่ครั้งหนึ่งเคยเป็นผู้ลึกลับ ซึ่งเป็นที่รู้จักจากการโจมตีทางไซเบอร์ต่อผู้ให้บริการโทรคมนาคมทั่วโลก ไปยังเว็บของกลุ่มภัยคุกคามขั้นสูงแบบถาวร (APT) ที่ได้รับการสนับสนุนจากรัฐบาลจีน

พื้นที่ การประเมินข่าวกรองภัยคุกคาม เป็นผลมาจากความร่วมมือระหว่าง Microsoft, SentinelLabs และ PwC และนำเสนอเพียงแวบเดียวเกี่ยวกับความซับซ้อนและความกว้างโดยทั่วไปของ อพาร์ทเมนจีน นักวิจัยระบุว่า

แซนด์แมนถูกระบุตัวตนครั้งแรกในเดือนสิงหาคม ตามหลังเหตุการณ์ต่างๆ การโจมตีทางไซเบอร์ต่อบริษัทโทรคมนาคม ทั่วทั้งตะวันออกกลาง ยุโรปตะวันตก และเอเชียใต้ ซึ่งใช้แบ็คดอร์ที่เรียกว่า “LuaDream” ตามภาษาโปรแกรม Lua เช่นเดียวกับแบ็คดอร์ที่เรียกว่า “Keyplug” ที่ใช้งานใน C++

อย่างไรก็ตาม SentinelOne กล่าวว่านักวิเคราะห์ไม่สามารถระบุที่มาของกลุ่มภัยคุกคามได้ จนถึงขณะนี้

“ตัวอย่างที่เราวิเคราะห์ไม่ได้ใช้ตัวบ่งชี้ที่ตรงไปตรงมาซึ่งสามารถจัดประเภทได้อย่างมั่นใจว่าเกี่ยวข้องอย่างใกล้ชิดหรือมาจากแหล่งเดียวกัน เช่น การใช้คีย์เข้ารหัสที่เหมือนกันหรือการทับซ้อนกันโดยตรงในการใช้งาน” การวิจัยใหม่พบว่า “อย่างไรก็ตาม เราสังเกตเห็นตัวบ่งชี้ของแนวทางปฏิบัติในการพัฒนาที่ใช้ร่วมกัน และการทับซ้อนกันบางประการในฟังก์ชันและการออกแบบ ซึ่งแนะนำข้อกำหนดด้านฟังก์ชันที่ใช้ร่วมกันโดยผู้ปฏิบัติงาน นี่ไม่ใช่เรื่องแปลกในภาพรวมมัลแวร์ของจีน”

รายงานฉบับใหม่ระบุว่าแนวทางปฏิบัติในการพัฒนา Lua รวมถึงการนำประตูหลัง Keyplug มาใช้นั้น ดูเหมือนว่าจะมีการแบ่งปันกับตัวแสดงภัยคุกคาม STORM-08/Red Dev 40 ที่มีฐานอยู่ในจีน ซึ่งรู้จักกันในทำนองเดียวกันในการกำหนดเป้าหมายกลุ่มโทรคมนาคมในตะวันออกกลางและเอเชียใต้

ลิงค์ APT จีน

รายงานเสริมว่าทีม Mandiant รายงานเรื่องนี้เป็นครั้งแรก มีการใช้แบ็คดอร์คีย์ปลั๊ก โดย รู้จักกลุ่มจีน APT41 ย้อนกลับไปในเดือนมีนาคม 2022 นอกจากนี้ ทีม Microsoft และ PwC ยังพบว่าแบ็คดอร์ของ Keyplug ถูกส่งผ่านไปยังกลุ่มภัยคุกคามในจีนเพิ่มเติมอีกหลายกลุ่ม รายงานกล่าวเสริม

นักวิจัยระบุว่ามัลแวร์ Keyplug ล่าสุดช่วยให้กลุ่มได้เปรียบใหม่ด้วยเครื่องมือสร้างความสับสนใหม่

“พวกเขาแยก STORM-0866/Red Dev 40 ออกจากคลัสเตอร์อื่นๆ ตามลักษณะเฉพาะของมัลแวร์ เช่น คีย์การเข้ารหัสเฉพาะสำหรับการสื่อสารแบบ command-and-control (C2) ของ KEYPLUG และความรู้สึกด้านความปลอดภัยในการปฏิบัติงานที่สูงขึ้น เช่น การพึ่งพาระบบคลาวด์ โครงสร้างพื้นฐานพร็อกซีแบบย้อนกลับที่ใช้สำหรับการซ่อนตำแหน่งโฮสต์ที่แท้จริงของเซิร์ฟเวอร์ C2” ตามรายงาน

การวิเคราะห์การตั้งค่า C2 และมัลแวร์ทั้ง LuaDream และ Keyplug แสดงให้เห็นการทับซ้อนกัน “แนะนำข้อกำหนดการทำงานที่ใช้ร่วมกันโดยผู้ปฏิบัติงาน” นักวิจัยกล่าวเสริม

ความร่วมมือที่เติบโตและมีประสิทธิภาพระหว่าง เขาวงกตขยายของกลุ่ม APT ของจีน รายงานดังกล่าวต้องการการแบ่งปันความรู้ที่คล้ายคลึงกันระหว่างชุมชนความปลอดภัยทางไซเบอร์

“ผู้คุกคามที่เป็นส่วนประกอบจะยังคงให้ความร่วมมือและประสานงานต่อไปอย่างแน่นอน โดยสำรวจแนวทางใหม่ ๆ เพื่ออัพเกรดฟังก์ชันการทำงาน ความยืดหยุ่น และการซ่อนตัวของมัลแวร์ของพวกเขา” รายงานกล่าว “การนำกระบวนทัศน์การพัฒนา Lua มาใช้เป็นตัวอย่างที่น่าสนใจในเรื่องนี้ การสำรวจภูมิทัศน์ภัยคุกคามจำเป็นต้องมีการทำงานร่วมกันอย่างต่อเนื่องและแบ่งปันข้อมูลภายในชุมชนวิจัยข่าวกรองภัยคุกคาม”

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/threat-intelligence/microsoft-mystery-group-targeting-telcos-chinese-apts