微软：神秘组织针对与中国 APT 相关的电信公司

关注： 0

常见的恶意软件让一组研究人员将曾经神秘的桑德曼威胁组织（以针对世界各地电信服务提供商的网络攻击而闻名）与日益壮大的中国政府支持的高级持续威胁 (APT) 组织网络联系起来。

威胁情报评估是 Microsoft、SentinelLabs 和 PwC 之间合作的成果，仅提供了对总体复杂性和广度的一个小小的了解。中文APT 研究人员表示，威胁态势。

经过一系列的调查后，桑德曼于 XNUMX 月首次被确认。针对电信公司的网络攻击整个中东、西欧和南亚，特别是使用了基于 Lua 编程语言的名为“LuaDream”的后门，以及用 C++ 实现的名为“Keyplug”的后门。

然而，SentinelOne 表示，直到现在，其分析师仍无法确定该威胁组织的起源。

新研究发现：“我们分析的样本不具有直接的指标，无法自信地将它们归类为密切相关或源自同一来源，例如使用相同的加密密钥或在实施中直接重叠。” “但是，我们观察到共享开发实践的指标以及功能和设计上的一些重叠，这表明运营商有共享的功能需求。这在中国恶意软件领域并不罕见。”

新报告称，Lua 开发实践以及 Keyplug 后门的采用似乎与中国威胁组织 STORM-08/Red Dev 40 共享，该组织同样以针对中东和南亚的电信公司而闻名。

中文APT链接

该报告补充说，Mandiant 团队首先报告了这一情况正在使用 Keyplug 后门由已知中国组织APT41 早在 2022 年 XNUMX 月。报告补充说，此外，微软和普华永道团队发现 Keyplug 后门正在多个其他中国威胁组织中传播。

研究人员表示，最新的 Keyplug 恶意软件通过新的混淆工具为该组织带来了新的优势。

“他们根据特定的恶意软件特征将 STORM-0866/Red Dev 40 与其他集群区分开来，例如用于 KEYPLUG 命令和控制 (C2) 通信的独特加密密钥，以及更高的操作安全感，例如依赖云基于反向代理基础设施，用于隐藏其 C2 服务器的真实托管位置。”

研究人员补充说，对 C2 设置以及 LuaDream 和 Keyplug 恶意软件菌株的分析显示出重叠，“表明其操作者共享功能需求”。

之间不断发展、有效的合作中国 APT 组织的迷宫不断扩大报告补充说，网络安全界需要类似的知识共享。

报告称：“其构成的威胁行为者几乎肯定会继续合作和协调，探索新的方法来升级其恶意软件的功能、灵活性和隐蔽性。” “Lua 开发范式的采用就是一个令人信服的例证。应对威胁形势需要威胁情报研究界的持续协作和信息共享。”

时间戳记： 2022 年 10 月 27 日