Поширене зловмисне програмне забезпечення спонукало групу дослідників пов’язати колись таємничу групу загроз Sandman, відому своїми кібератаками на постачальників телекомунікаційних послуг по всьому світу, із зростаючою мережею груп прогресивних постійних загроз (APT), підтримуваних китайським урядом.
Команда оцінка розвідувальних даних про загрози є результатом співпраці між Microsoft, SentinelLabs і PwC і пропонує лише невеликий погляд на загальну складність і широту Китайський APT ландшафт загроз, на думку дослідників.
Sandman був вперше ідентифікований у серпні після серії кібератаки на телекомунікаційні компанії на Близькому Сході, у Західній Європі та Південній Азії, де, зокрема, використовувався бекдор під назвою «LuaDream» на основі мови програмування Lua, а також бекдор під назвою «Keyplug», реалізований на C++.
Однак SentinelOne заявив, що його аналітики не змогли визначити походження групи загроз — досі.
«Зразки, які ми проаналізували, не мають прямих індикаторів, які б з упевненістю класифікували їх як тісно пов’язані або походять з того самого джерела, наприклад, використання ідентичних ключів шифрування або прямі збіги у реалізації», — показало нове дослідження. «Однак ми помітили ознаки спільних практик розробки та деякі збіги у функціональних можливостях і дизайні, що свідчить про спільні функціональні вимоги операторів. Це не рідкість у китайському середовищі зловмисного програмного забезпечення».
У новому звіті говориться, що методи розробки Lua, а також впровадження бекдору Keyplug, схоже, були спільні з китайською загрозливою організацією STORM-08/Red Dev 40, яка так само відома своїми нападами на телекомунікаційні компанії на Близькому Сході та в Південній Азії.
Китайські APT посилання
У звіті додається, що команда Mandiant першою повідомила про це Використовується бекдор Keyplug по відома китайська група APT41 ще в березні 2022 року. Крім того, команди Microsoft і PwC виявили, що бекдор Keyplug передається кількома додатковими китайськими групами загроз, додається у звіті.
За словами дослідників, останнє шкідливе програмне забезпечення Keyplug дає групі нову перевагу завдяки новим інструментам обфускації.
«Вони відрізняють STORM-0866/Red Dev 40 від інших кластерів на основі конкретних характеристик зловмисного програмного забезпечення, таких як унікальні ключі шифрування для командно-контрольного зв’язку KEYPLUG (C2), а також вищого відчуття операційної безпеки, наприклад використання хмари. інфраструктура зворотного проксі-сервера для приховування справжніх місць розміщення їхніх серверів C2», – йдеться у звіті.
Аналіз налаштувань C2 і штамів зловмисного програмного забезпечення LuaDream і Keyplug показав збіги, «пропонуючи спільні функціональні вимоги їхніх операторів», додали дослідники.
Зростаюча ефективна співпраця між an розширення лабіринту китайських груп APT вимагає подібного обміну знаннями серед спільноти кібербезпеки, додається у звіті.
«Суб’єкти загрози, що входять до її складу, майже напевно продовжуватимуть співпрацювати та координувати роботу, досліджуючи нові підходи до покращення функціональності, гнучкості та прихованої дії шкідливого програмного забезпечення», — йдеться у звіті. «Прийняття парадигми розробки Lua є переконливою ілюстрацією цього. Навігація серед загроз вимагає постійної співпраці та обміну інформацією в дослідницькій спільноті аналізу загроз».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/threat-intelligence/microsoft-mystery-group-targeting-telcos-chinese-apts
- : має
- :є
- : ні
- 2022
- 40
- a
- Здатний
- За
- через
- актори
- доданий
- доповнення
- Додатковий
- Прийняття
- просунутий
- розширена постійна загроза
- Перевага
- проти
- майже
- серед
- an
- аналітики
- проаналізовані
- та
- з'являтися
- підходи
- APT
- навколо
- AS
- Азія
- Серпня
- назад
- закулісний
- заснований
- було
- буття
- між
- обидва
- широта
- by
- C + +
- званий
- Виклики
- звичайно
- характеристика
- китайський
- Класифікувати
- тісно
- співробітництво
- Комунікація
- співтовариство
- переконливий
- складність
- впевнено
- складовою
- продовжувати
- безперервний
- СПІВПРАЦЮЙТЕ
- координувати
- кібератаки
- Кібербезпека
- дизайн
- DEV
- розробка
- прямий
- розрізняти
- do
- Схід
- Ефективний
- шифрування
- Ефір (ETH)
- Європа
- Дослідження
- Перший
- Гнучкість
- після
- для
- знайдений
- від
- функціональний
- функціональні можливості
- функціональність
- Загальне
- дає
- Проблиск
- Group
- Групи
- Зростання
- Мати
- вище
- хостинг
- Однак
- HTTPS
- однаковий
- ідентифікований
- Особистість
- реалізація
- реалізовані
- in
- індикатори
- інформація
- Інфраструктура
- Інтелект
- в
- ЙОГО
- JPG
- просто
- ключі
- відомий
- ландшафт
- мова
- останній
- Led
- LINK
- пов'язаний
- місць
- шкідливих програм
- березня
- Microsoft
- Середній
- середній Схід
- множинний
- таємничий
- Таємниця
- навігація
- Нові
- особливо
- зараз
- спостерігається
- of
- Пропозиції
- on
- один раз
- оперативний
- Оператори
- or
- походження
- походження
- Інше
- парадигма
- Пройшов
- plato
- Інформація про дані Платона
- PlatoData
- практики
- Програмування
- провайдери
- повноваження
- PWC
- пов'язаний
- покладаючись
- звітом
- Повідомляється
- Вимога
- Вимагається
- дослідження
- Дослідницьке співтовариство
- Дослідники
- результат
- зворотний
- s
- Зазначений
- то ж
- говорить
- безпеку
- сенс
- SentinelOne
- Серія
- сервери
- обслуговування
- постачальники послуг
- установка
- Поділитись
- загальні
- поділ
- показав
- аналогічний
- Аналогічно
- невеликий
- деякі
- Source
- Південь
- конкретний
- просто
- Штамми
- такі
- T
- націлювання
- команда
- команди
- телеком
- Що
- Команда
- світ
- їх
- Їх
- вони
- це
- загроза
- актори загроз
- інтелектуальна загроза
- до
- інструменти
- правда
- Uncommon
- створеного
- до
- модернізація
- використання
- використовуваний
- було
- we
- Web
- ДОБРЕ
- Western
- Західна Європа
- який
- волі
- з
- в
- світ
- б
- зефірнет