Microsoft: Таємнича група, націлена на телекомунікаційні компанії, пов’язані з китайськими APT

Поширене зловмисне програмне забезпечення спонукало групу дослідників пов’язати колись таємничу групу загроз Sandman, відому своїми кібератаками на постачальників телекомунікаційних послуг по всьому світу, із зростаючою мережею груп прогресивних постійних загроз (APT), підтримуваних китайським урядом.

Команда оцінка розвідувальних даних про загрози є результатом співпраці між Microsoft, SentinelLabs і PwC і пропонує лише невеликий погляд на загальну складність і широту Китайський APT ландшафт загроз, на думку дослідників.

Sandman був вперше ідентифікований у серпні після серії кібератаки на телекомунікаційні компанії на Близькому Сході, у Західній Європі та Південній Азії, де, зокрема, використовувався бекдор під назвою «LuaDream» на основі мови програмування Lua, а також бекдор під назвою «Keyplug», реалізований на C++.

Однак SentinelOne заявив, що його аналітики не змогли визначити походження групи загроз — досі.

«Зразки, які ми проаналізували, не мають прямих індикаторів, які б з упевненістю класифікували їх як тісно пов’язані або походять з того самого джерела, наприклад, використання ідентичних ключів шифрування або прямі збіги у реалізації», — показало нове дослідження. «Однак ми помітили ознаки спільних практик розробки та деякі збіги у функціональних можливостях і дизайні, що свідчить про спільні функціональні вимоги операторів. Це не рідкість у китайському середовищі зловмисного програмного забезпечення».

У новому звіті говориться, що методи розробки Lua, а також впровадження бекдору Keyplug, схоже, були спільні з китайською загрозливою організацією STORM-08/Red Dev 40, яка так само відома своїми нападами на телекомунікаційні компанії на Близькому Сході та в Південній Азії.

Китайські APT посилання

У звіті додається, що команда Mandiant першою повідомила про це Використовується бекдор Keyplug по відома китайська група APT41 ще в березні 2022 року. Крім того, команди Microsoft і PwC виявили, що бекдор Keyplug передається кількома додатковими китайськими групами загроз, додається у звіті.

За словами дослідників, останнє шкідливе програмне забезпечення Keyplug дає групі нову перевагу завдяки новим інструментам обфускації.

«Вони відрізняють STORM-0866/Red Dev 40 від інших кластерів на основі конкретних характеристик зловмисного програмного забезпечення, таких як унікальні ключі шифрування для командно-контрольного зв’язку KEYPLUG (C2), а також вищого відчуття операційної безпеки, наприклад використання хмари. інфраструктура зворотного проксі-сервера для приховування справжніх місць розміщення їхніх серверів C2», – йдеться у звіті.

Аналіз налаштувань C2 і штамів зловмисного програмного забезпечення LuaDream і Keyplug показав збіги, «пропонуючи спільні функціональні вимоги їхніх операторів», додали дослідники.

Зростаюча ефективна співпраця між an розширення лабіринту китайських груп APT вимагає подібного обміну знаннями серед спільноти кібербезпеки, додається у звіті.

«Суб’єкти загрози, що входять до її складу, майже напевно продовжуватимуть співпрацювати та координувати роботу, досліджуючи нові підходи до покращення функціональності, гнучкості та прихованої дії шкідливого програмного забезпечення», — йдеться у звіті. «Прийняття парадигми розробки Lua є переконливою ілюстрацією цього. Навігація серед загроз вимагає постійної співпраці та обміну інформацією в дослідницькій спільноті аналізу загроз».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/threat-intelligence/microsoft-mystery-group-targeting-telcos-chinese-apts