Microsoft: Nhóm bí ẩn nhắm mục tiêu vào các công ty viễn thông được liên kết với APT của Trung Quốc

Microsoft: Nhóm bí ẩn nhắm mục tiêu vào các công ty viễn thông được liên kết với APT của Trung Quốc

Dấu thời gian: Ngày 11 tháng 2023 năm 11 00:XNUMX sáng
Nút nguồn: 3008079

Phần mềm độc hại phổ biến đã khiến một nhóm các nhà nghiên cứu liên kết nhóm đe dọa Sandman bí ẩn một thời, được biết đến với các cuộc tấn công mạng nhằm vào các nhà cung cấp dịch vụ viễn thông trên toàn thế giới, với một trang web đang phát triển gồm các nhóm đe dọa dai dẳng (APT) nâng cao được chính phủ Trung Quốc hậu thuẫn.

Sản phẩm đánh giá tình báo mối đe dọa là kết quả của sự hợp tác giữa Microsoft, SentinelLabs và PwC, đồng thời chỉ cung cấp một cái nhìn thoáng qua về mức độ phức tạp và bề rộng chung của APT tiếng Trung theo các nhà nghiên cứu, bối cảnh mối đe dọa.

Sandman lần đầu tiên được xác định vào tháng 8, sau một loạt tấn công mạng vào công ty viễn thông trên khắp Trung Đông, Tây Âu và Nam Á, trong đó đáng chú ý là đã sử dụng một cửa hậu có tên “LuaDream” dựa trên ngôn ngữ lập trình Lua, cũng như một cửa hậu có tên “Keyplug”, được triển khai trong C++.

Tuy nhiên, SentinelOne cho biết các nhà phân tích của họ không thể xác định được nguồn gốc của nhóm đe dọa này – cho đến tận bây giờ.

Nghiên cứu mới cho thấy: “Các mẫu mà chúng tôi phân tích không có chung các chỉ số đơn giản có thể tự tin phân loại chúng là có liên quan chặt chẽ hoặc có nguồn gốc từ cùng một nguồn, chẳng hạn như sử dụng các khóa mã hóa giống hệt nhau hoặc trùng lặp trực tiếp trong quá trình triển khai”. “Tuy nhiên, chúng tôi đã quan sát thấy các chỉ số về thực tiễn phát triển chung và một số điểm trùng lặp về chức năng và thiết kế, gợi ý các yêu cầu chức năng chung của những người vận hành. Điều này không phải là hiếm trong bối cảnh phần mềm độc hại của Trung Quốc.”

Báo cáo mới cho biết các hoạt động phát triển Lua, cũng như việc áp dụng cửa sau Keyplug, dường như đã được chia sẻ với nhóm đe dọa STORM-08/Red Dev 40 có trụ sở tại Trung Quốc, được biết đến tương tự với mục tiêu nhắm vào các công ty viễn thông ở Trung Đông và Nam Á.

Liên kết APT tiếng Trung

Báo cáo nói thêm rằng nhóm Mandiant lần đầu tiên đã báo cáo về Backdoor Keyplug đang được sử dụng bởi nhóm Trung Quốc nổi tiếng APT41 trở lại vào tháng 2022 năm XNUMX. Ngoài ra, các nhóm Microsoft và PwC đã phát hiện ra cửa hậu Keyplug đang được chuyển qua nhiều nhóm đe dọa khác có trụ sở tại Trung Quốc, báo cáo cho biết thêm.

Theo các nhà nghiên cứu, phần mềm độc hại Keyplug mới nhất mang lại cho nhóm này một lợi thế mới với các công cụ che giấu mới.

“Họ phân biệt STORM-0866/Red Dev 40 với các cụm khác dựa trên các đặc điểm phần mềm độc hại cụ thể, chẳng hạn như các khóa mã hóa duy nhất cho giao tiếp ra lệnh và kiểm soát (C2) KEYPLUG và ý thức bảo mật hoạt động cao hơn, chẳng hạn như dựa vào đám mây. dựa trên cơ sở hạ tầng proxy ngược để ẩn các vị trí lưu trữ thực sự của máy chủ C2 của họ,” theo báo cáo.

Các nhà nghiên cứu cho biết thêm, phân tích thiết lập C2 và cả hai chủng phần mềm độc hại LuaDream và Keyplug đều cho thấy sự trùng lặp, “gợi ý các yêu cầu chức năng chung của các nhà khai thác của chúng”.

Sự hợp tác ngày càng hiệu quả giữa một Mê cung mở rộng của nhóm APT Trung Quốc báo cáo cho biết thêm yêu cầu chia sẻ kiến ​​thức tương tự giữa cộng đồng an ninh mạng.

Báo cáo cho biết: “Các tác nhân đe dọa cấu thành gần như chắc chắn sẽ tiếp tục hợp tác và phối hợp, khám phá các phương pháp tiếp cận mới để nâng cấp chức năng, tính linh hoạt và khả năng tàng hình của phần mềm độc hại của chúng”. “Việc áp dụng mô hình phát triển Lua là một minh họa thuyết phục cho điều này. Việc điều hướng bối cảnh mối đe dọa đòi hỏi sự hợp tác và chia sẻ thông tin liên tục trong cộng đồng nghiên cứu tình báo về mối đe dọa.”

Dấu thời gian:

Thêm từ Đọc tối