มัลแวร์ทั่วไปได้นำกลุ่มนักวิจัยเชื่อมโยงกลุ่มภัยคุกคาม Sandman ที่ครั้งหนึ่งเคยเป็นผู้ลึกลับ ซึ่งเป็นที่รู้จักจากการโจมตีทางไซเบอร์ต่อผู้ให้บริการโทรคมนาคมทั่วโลก ไปยังเว็บของกลุ่มภัยคุกคามขั้นสูงแบบถาวร (APT) ที่ได้รับการสนับสนุนจากรัฐบาลจีน
พื้นที่ การประเมินข่าวกรองภัยคุกคาม เป็นผลมาจากความร่วมมือระหว่าง Microsoft, SentinelLabs และ PwC และนำเสนอเพียงแวบเดียวเกี่ยวกับความซับซ้อนและความกว้างโดยทั่วไปของ อพาร์ทเมนจีน นักวิจัยระบุว่า
แซนด์แมนถูกระบุตัวตนครั้งแรกในเดือนสิงหาคม ตามหลังเหตุการณ์ต่างๆ การโจมตีทางไซเบอร์ต่อบริษัทโทรคมนาคม ทั่วทั้งตะวันออกกลาง ยุโรปตะวันตก และเอเชียใต้ ซึ่งใช้แบ็คดอร์ที่เรียกว่า “LuaDream” ตามภาษาโปรแกรม Lua เช่นเดียวกับแบ็คดอร์ที่เรียกว่า “Keyplug” ที่ใช้งานใน C++
อย่างไรก็ตาม SentinelOne กล่าวว่านักวิเคราะห์ไม่สามารถระบุที่มาของกลุ่มภัยคุกคามได้ จนถึงขณะนี้
“ตัวอย่างที่เราวิเคราะห์ไม่ได้ใช้ตัวบ่งชี้ที่ตรงไปตรงมาซึ่งสามารถจัดประเภทได้อย่างมั่นใจว่าเกี่ยวข้องอย่างใกล้ชิดหรือมาจากแหล่งเดียวกัน เช่น การใช้คีย์เข้ารหัสที่เหมือนกันหรือการทับซ้อนกันโดยตรงในการใช้งาน” การวิจัยใหม่พบว่า “อย่างไรก็ตาม เราสังเกตเห็นตัวบ่งชี้ของแนวทางปฏิบัติในการพัฒนาที่ใช้ร่วมกัน และการทับซ้อนกันบางประการในฟังก์ชันและการออกแบบ ซึ่งแนะนำข้อกำหนดด้านฟังก์ชันที่ใช้ร่วมกันโดยผู้ปฏิบัติงาน นี่ไม่ใช่เรื่องแปลกในภาพรวมมัลแวร์ของจีน”
รายงานฉบับใหม่ระบุว่าแนวทางปฏิบัติในการพัฒนา Lua รวมถึงการนำประตูหลัง Keyplug มาใช้นั้น ดูเหมือนว่าจะมีการแบ่งปันกับตัวแสดงภัยคุกคาม STORM-08/Red Dev 40 ที่มีฐานอยู่ในจีน ซึ่งรู้จักกันในทำนองเดียวกันในการกำหนดเป้าหมายกลุ่มโทรคมนาคมในตะวันออกกลางและเอเชียใต้
ลิงค์ APT จีน
รายงานเสริมว่าทีม Mandiant รายงานเรื่องนี้เป็นครั้งแรก มีการใช้แบ็คดอร์คีย์ปลั๊ก โดย รู้จักกลุ่มจีน APT41 ย้อนกลับไปในเดือนมีนาคม 2022 นอกจากนี้ ทีม Microsoft และ PwC ยังพบว่าแบ็คดอร์ของ Keyplug ถูกส่งผ่านไปยังกลุ่มภัยคุกคามในจีนเพิ่มเติมอีกหลายกลุ่ม รายงานกล่าวเสริม
นักวิจัยระบุว่ามัลแวร์ Keyplug ล่าสุดช่วยให้กลุ่มได้เปรียบใหม่ด้วยเครื่องมือสร้างความสับสนใหม่
“พวกเขาแยก STORM-0866/Red Dev 40 ออกจากคลัสเตอร์อื่นๆ ตามลักษณะเฉพาะของมัลแวร์ เช่น คีย์การเข้ารหัสเฉพาะสำหรับการสื่อสารแบบ command-and-control (C2) ของ KEYPLUG และความรู้สึกด้านความปลอดภัยในการปฏิบัติงานที่สูงขึ้น เช่น การพึ่งพาระบบคลาวด์ โครงสร้างพื้นฐานพร็อกซีแบบย้อนกลับที่ใช้สำหรับการซ่อนตำแหน่งโฮสต์ที่แท้จริงของเซิร์ฟเวอร์ C2” ตามรายงาน
การวิเคราะห์การตั้งค่า C2 และมัลแวร์ทั้ง LuaDream และ Keyplug แสดงให้เห็นการทับซ้อนกัน “แนะนำข้อกำหนดการทำงานที่ใช้ร่วมกันโดยผู้ปฏิบัติงาน” นักวิจัยกล่าวเสริม
ความร่วมมือที่เติบโตและมีประสิทธิภาพระหว่าง เขาวงกตขยายของกลุ่ม APT ของจีน รายงานดังกล่าวต้องการการแบ่งปันความรู้ที่คล้ายคลึงกันระหว่างชุมชนความปลอดภัยทางไซเบอร์
“ผู้คุกคามที่เป็นส่วนประกอบจะยังคงให้ความร่วมมือและประสานงานต่อไปอย่างแน่นอน โดยสำรวจแนวทางใหม่ ๆ เพื่ออัพเกรดฟังก์ชันการทำงาน ความยืดหยุ่น และการซ่อนตัวของมัลแวร์ของพวกเขา” รายงานกล่าว “การนำกระบวนทัศน์การพัฒนา Lua มาใช้เป็นตัวอย่างที่น่าสนใจในเรื่องนี้ การสำรวจภูมิทัศน์ภัยคุกคามจำเป็นต้องมีการทำงานร่วมกันอย่างต่อเนื่องและแบ่งปันข้อมูลภายในชุมชนวิจัยข่าวกรองภัยคุกคาม”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/threat-intelligence/microsoft-mystery-group-targeting-telcos-chinese-apts
- :มี
- :เป็น
- :ไม่
- 2022
- 40
- a
- สามารถ
- ตาม
- ข้าม
- นักแสดง
- ที่เพิ่ม
- นอกจากนี้
- เพิ่มเติม
- การนำมาใช้
- สูง
- ภัยคุกคามต่อเนื่องขั้นสูง
- ความได้เปรียบ
- กับ
- เกือบจะ
- ในหมู่
- an
- นักวิเคราะห์
- วิเคราะห์
- และ
- ปรากฏ
- วิธีการ
- APT
- รอบ
- AS
- เอเชีย
- สิงหาคม
- กลับ
- ประตูหลัง
- ตาม
- รับ
- กำลัง
- ระหว่าง
- ทั้งสอง
- ความกว้าง
- by
- C + +
- ที่เรียกว่า
- โทร
- อย่างแน่นอน
- ลักษณะ
- ชาวจีน
- แยกประเภท
- อย่างใกล้ชิด
- การทำงานร่วมกัน
- การสื่อสาร
- ชุมชน
- จับใจ
- ความซับซ้อน
- มั่นใจ
- ส่วนประกอบ
- ต่อ
- ต่อเนื่องกัน
- ให้ความร่วมมือ
- ประสานงาน
- cyberattacks
- cybersecurity
- ออกแบบ
- dev
- พัฒนาการ
- โดยตรง
- เห็นความแตกต่าง
- do
- ตะวันออก
- มีประสิทธิภาพ
- การเข้ารหัสลับ
- อีเธอร์ (ETH)
- ยุโรป
- สำรวจ
- ชื่อจริง
- ความยืดหยุ่น
- ดังต่อไปนี้
- สำหรับ
- พบ
- ราคาเริ่มต้นที่
- การทำงาน
- ฟังก์ชันการทำงาน
- ฟังก์ชั่น
- General
- จะช่วยให้
- เหลือบ
- บัญชีกลุ่ม
- กลุ่ม
- การเจริญเติบโต
- มี
- สูงกว่า
- โฮสติ้ง
- อย่างไรก็ตาม
- HTTPS
- identiques
- ระบุ
- เอกลักษณ์
- การดำเนินงาน
- การดำเนินการ
- in
- ตัวชี้วัด
- ข้อมูล
- โครงสร้างพื้นฐาน
- Intelligence
- เข้าไป
- ITS
- jpg
- เพียงแค่
- กุญแจ
- ที่รู้จักกัน
- ภูมิประเทศ
- ภาษา
- ล่าสุด
- นำ
- LINK
- ที่เชื่อมโยง
- วันหยุด
- มัลแวร์
- มีนาคม
- ไมโครซอฟท์
- กลาง
- ตะวันออกกลาง
- หลาย
- ลึกลับ
- ความลึกลับ
- การนำทาง
- ใหม่
- ยวด
- ตอนนี้
- ตั้งข้อสังเกต
- of
- เสนอ
- on
- ครั้งเดียว
- การดำเนินงาน
- ผู้ประกอบการ
- or
- มีต้นกำเนิด
- ต้นกำเนิด
- อื่นๆ
- ตัวอย่าง
- ผ่าน
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- การปฏิบัติ
- การเขียนโปรแกรม
- ผู้ให้บริการ
- หนังสือมอบฉันทะ
- PWC
- ที่เกี่ยวข้อง
- อาศัย
- รายงาน
- รายงาน
- ความต้องการ
- ต้อง
- การวิจัย
- ชุมชนวิจัย
- นักวิจัย
- ผล
- ย้อนกลับ
- s
- กล่าวว่า
- เดียวกัน
- พูดว่า
- ความปลอดภัย
- ความรู้สึก
- เซนติเนลวัน
- ชุด
- เซิร์ฟเวอร์
- บริการ
- ผู้ให้บริการ
- การติดตั้ง
- Share
- ที่ใช้ร่วมกัน
- ใช้งานร่วมกัน
- แสดงให้เห็นว่า
- คล้ายคลึงกัน
- เหมือนกับ
- เล็ก
- บาง
- แหล่ง
- ภาคใต้
- โดยเฉพาะ
- ซื่อตรง
- สายพันธุ์
- อย่างเช่น
- T
- กำหนดเป้าหมาย
- ทีม
- ทีม
- โทรคมนาคม
- ที่
- พื้นที่
- โลก
- ของพวกเขา
- พวกเขา
- พวกเขา
- นี้
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ภัยคุกคามที่ชาญฉลาด
- ไปยัง
- เครื่องมือ
- จริง
- ผิดปกติ
- เป็นเอกลักษณ์
- จนกระทั่ง
- อัพเกรด
- ใช้
- มือสอง
- คือ
- we
- เว็บ
- ดี
- ตะวันตก
- ยุโรปตะวันตก
- ที่
- จะ
- กับ
- ภายใน
- โลก
- จะ
- ลมทะเล