Phần mềm độc hại phổ biến đã khiến một nhóm các nhà nghiên cứu liên kết nhóm đe dọa Sandman bí ẩn một thời, được biết đến với các cuộc tấn công mạng nhằm vào các nhà cung cấp dịch vụ viễn thông trên toàn thế giới, với một trang web đang phát triển gồm các nhóm đe dọa dai dẳng (APT) nâng cao được chính phủ Trung Quốc hậu thuẫn.
Sản phẩm đánh giá tình báo mối đe dọa là kết quả của sự hợp tác giữa Microsoft, SentinelLabs và PwC, đồng thời chỉ cung cấp một cái nhìn thoáng qua về mức độ phức tạp và bề rộng chung của APT tiếng Trung theo các nhà nghiên cứu, bối cảnh mối đe dọa.
Sandman lần đầu tiên được xác định vào tháng 8, sau một loạt tấn công mạng vào công ty viễn thông trên khắp Trung Đông, Tây Âu và Nam Á, trong đó đáng chú ý là đã sử dụng một cửa hậu có tên “LuaDream” dựa trên ngôn ngữ lập trình Lua, cũng như một cửa hậu có tên “Keyplug”, được triển khai trong C++.
Tuy nhiên, SentinelOne cho biết các nhà phân tích của họ không thể xác định được nguồn gốc của nhóm đe dọa này – cho đến tận bây giờ.
Nghiên cứu mới cho thấy: “Các mẫu mà chúng tôi phân tích không có chung các chỉ số đơn giản có thể tự tin phân loại chúng là có liên quan chặt chẽ hoặc có nguồn gốc từ cùng một nguồn, chẳng hạn như sử dụng các khóa mã hóa giống hệt nhau hoặc trùng lặp trực tiếp trong quá trình triển khai”. “Tuy nhiên, chúng tôi đã quan sát thấy các chỉ số về thực tiễn phát triển chung và một số điểm trùng lặp về chức năng và thiết kế, gợi ý các yêu cầu chức năng chung của những người vận hành. Điều này không phải là hiếm trong bối cảnh phần mềm độc hại của Trung Quốc.”
Báo cáo mới cho biết các hoạt động phát triển Lua, cũng như việc áp dụng cửa sau Keyplug, dường như đã được chia sẻ với nhóm đe dọa STORM-08/Red Dev 40 có trụ sở tại Trung Quốc, được biết đến tương tự với mục tiêu nhắm vào các công ty viễn thông ở Trung Đông và Nam Á.
Liên kết APT tiếng Trung
Báo cáo nói thêm rằng nhóm Mandiant lần đầu tiên đã báo cáo về Backdoor Keyplug đang được sử dụng bởi nhóm Trung Quốc nổi tiếng APT41 trở lại vào tháng 2022 năm XNUMX. Ngoài ra, các nhóm Microsoft và PwC đã phát hiện ra cửa hậu Keyplug đang được chuyển qua nhiều nhóm đe dọa khác có trụ sở tại Trung Quốc, báo cáo cho biết thêm.
Theo các nhà nghiên cứu, phần mềm độc hại Keyplug mới nhất mang lại cho nhóm này một lợi thế mới với các công cụ che giấu mới.
“Họ phân biệt STORM-0866/Red Dev 40 với các cụm khác dựa trên các đặc điểm phần mềm độc hại cụ thể, chẳng hạn như các khóa mã hóa duy nhất cho giao tiếp ra lệnh và kiểm soát (C2) KEYPLUG và ý thức bảo mật hoạt động cao hơn, chẳng hạn như dựa vào đám mây. dựa trên cơ sở hạ tầng proxy ngược để ẩn các vị trí lưu trữ thực sự của máy chủ C2 của họ,” theo báo cáo.
Các nhà nghiên cứu cho biết thêm, phân tích thiết lập C2 và cả hai chủng phần mềm độc hại LuaDream và Keyplug đều cho thấy sự trùng lặp, “gợi ý các yêu cầu chức năng chung của các nhà khai thác của chúng”.
Sự hợp tác ngày càng hiệu quả giữa một Mê cung mở rộng của nhóm APT Trung Quốc báo cáo cho biết thêm yêu cầu chia sẻ kiến thức tương tự giữa cộng đồng an ninh mạng.
Báo cáo cho biết: “Các tác nhân đe dọa cấu thành gần như chắc chắn sẽ tiếp tục hợp tác và phối hợp, khám phá các phương pháp tiếp cận mới để nâng cấp chức năng, tính linh hoạt và khả năng tàng hình của phần mềm độc hại của chúng”. “Việc áp dụng mô hình phát triển Lua là một minh họa thuyết phục cho điều này. Việc điều hướng bối cảnh mối đe dọa đòi hỏi sự hợp tác và chia sẻ thông tin liên tục trong cộng đồng nghiên cứu tình báo về mối đe dọa.”
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/threat-intelligence/microsoft-mystery-group-targeting-telcos-chinese-apts
- : có
- :là
- :không phải
- 2022
- 40
- a
- Có khả năng
- Theo
- ngang qua
- diễn viên
- thêm
- Ngoài ra
- thêm vào
- Nhận con nuôi
- tiên tiến
- Mối đe dọa liên tục nâng cao
- Lợi thế
- chống lại
- gần như
- trong số
- an
- Các nhà phân tích
- phân tích
- và
- xuất hiện
- cách tiếp cận
- APT
- xung quanh
- AS
- Á
- Tháng Tám
- trở lại
- cửa sau
- dựa
- được
- được
- giữa
- cả hai
- bề rộng
- by
- C + +
- gọi là
- Cuộc gọi
- chắc chắn
- đặc điểm
- Trung Quốc
- Phân loại
- chặt chẽ
- hợp tác
- Giao tiếp
- cộng đồng
- thuyết phục
- phức tạp
- tự tin
- thành phần
- tiếp tục
- liên tục
- HỢP TÁC
- phối hợp
- Tấn công mạng
- An ninh mạng
- Thiết kế
- Dev
- Phát triển
- trực tiếp
- phân biệt
- do
- Đông
- Hiệu quả
- mã hóa
- Ether (ETH)
- Châu Âu
- Khám phá
- Tên
- Linh hoạt
- tiếp theo
- Trong
- tìm thấy
- từ
- chức năng
- chức năng
- chức năng
- Tổng Quát
- cho
- Nhìn thoáng qua
- Nhóm
- Các nhóm
- Phát triển
- Có
- cao hơn
- lưu trữ
- Tuy nhiên
- HTTPS
- giống hệt nhau
- xác định
- Bản sắc
- thực hiện
- thực hiện
- in
- Các chỉ số
- thông tin
- Cơ sở hạ tầng
- Sự thông minh
- trong
- ITS
- jpg
- chỉ
- phím
- nổi tiếng
- cảnh quan
- Ngôn ngữ
- mới nhất
- Led
- LINK
- liên kết
- . Các địa điểm
- phần mềm độc hại
- Tháng Ba
- microsoft
- Tên đệm
- Trung Đông
- nhiều
- bí ẩn
- Trinh thám
- điều hướng
- Mới
- đáng chú ý
- tại
- quan sát
- of
- Cung cấp
- on
- hàng loạt
- hoạt động
- khai thác
- or
- nguồn gốc
- nguồn gốc
- Nền tảng khác
- mô hình
- thông qua
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- thực hành
- Lập trình
- nhà cung cấp
- Proxy
- PWC
- liên quan
- dựa vào
- báo cáo
- Báo cáo
- Yêu cầu
- đòi hỏi
- nghiên cứu
- Cộng đồng nghiên cứu
- nhà nghiên cứu
- kết quả
- đảo ngược
- s
- Nói
- tương tự
- nói
- an ninh
- ý nghĩa
- lính gác một
- Loạt Sách
- máy chủ
- dịch vụ
- các nhà cung cấp dịch vụ
- thiết lập
- Chia sẻ
- chia sẻ
- chia sẻ
- cho thấy
- tương tự
- Tương tự
- nhỏ
- một số
- nguồn
- miền Nam
- riêng
- đơn giản
- Chủng
- như vậy
- T
- nhắm mục tiêu
- nhóm
- đội
- viễn thông
- việc này
- Sản phẩm
- thế giới
- cung cấp their dịch
- Them
- họ
- điều này
- mối đe dọa
- diễn viên đe dọa
- mối đe dọa tình báo
- đến
- công cụ
- đúng
- Không phổ biến
- độc đáo
- cho đến khi
- nâng cấp
- sử dụng
- đã sử dụng
- là
- we
- web
- TỐT
- Tây
- Tây Âu
- cái nào
- sẽ
- với
- ở trong
- thế giới
- sẽ
- zephyrnet