More

    Istraživači razotkrivaju skrivenu vezu Sandman APT-a sa KEYPLUG backdoor-om iz Kine

    Otkrivena su taktička i ciljana preklapanja između enigmatične napredne trajne prijetnje (APT) zvane Sandman i klastera prijetnji sa sjedištem u Kini za koji se zna da koristi pozadinska vrata poznata kao KEYPLUG.

    Procjena dolazi zajedno od SentinelOnea, PwC-a i Microsoft Threat Intelligence tima na osnovu činjenice da su protivnikovi malver LuaDream i KEYPLUG utvrđeni da kohabitiraju u istim mrežama žrtava.

    Microsoft i PwC prate aktivnost pod nazivima Storm-0866 i Red Dev 40, respektivno.

    “Sandman i Storm-0866/Red Dev 40 dijele prakse kontrole i upravljanja infrastrukturom, uključujući odabir hosting provajdera i konvencije o imenovanju domena”, navode kompanije u izvještaju koji je podijeljen za The Hacker News.

    “Implementacija LuaDream-a i KEYPLUG-a otkriva indikatore zajedničkih razvojnih praksi i preklapanja u funkcionalnostima i dizajnu, sugerišući zajedničke funkcionalne zahtjeve njihovih operatera.”

    SentinelOne je prvi put razotkrio Sandmana u septembru 2023. godine, sa detaljima o napadima na telekomunikacione provajdere na Bliskom istoku, zapadnoj Evropi i Južnoj Aziji koristeći novi implant kodnog imena LuaDream. Upadi su zabilježeni u avgustu 2023.

    Storm-0866/Red Dev 40, s druge strane, odnosi se na APT klaster u nastajanju koji prvenstveno izdvaja entitete na Bliskom istoku i južnoazijskom potkontinentu, uključujući telekomunikacione provajdere i vladine entitete.

    Jedan od ključnih alata u arsenalu Storm-0866 je KEYPLUG, backdoor koji je prvi otkrio Mandiant u vlasništvu Googlea kao dio napada koje je pokrenuo kineski haker APT41 (aka Brass Typhoon ili Barium) kako bi se infiltrirao u šest mreža američke državne vlade između maja 2021. i februara 2022.

    U izvještaju objavljenom ranije ovog marta, Recorded Future pripisuje upotrebu KEYPLUG-a kineskoj državno sponzorisanoj hakerskoj grupi koju prati kao RedGolf, za koju se kaže da se “usko preklapa s aktivnostima prijetnji prijavljenih pod pseudonima APT41/Barium”.

    Istraživači razotkrivaju skrivenu vezu Sandman APT-a sa KEYPLUG backdoor-om iz Kine - Kiber.ba

    “Pažljivo ispitivanje implementacije i C2 infrastrukture ovih različitih sojeva malvera otkrilo je pokazatelje zajedničkog razvoja, kao i prakse kontrole i upravljanja infrastrukturom, kao i neka preklapanja u funkcionalnosti i dizajnu, sugerišući zajedničke funkcionalne zahtjeve njihovih operatera”, ističu kompanije.

    Jedno od značajnih preklapanja je par LuaDream C2 domena pod nazivom “dan.det-ploshadka[.]com” i “ssl.e-novauto[.]com”, koji je takođe stavljen da se koristi kao KEYPLUG C2 server i koji je vezan za Storm-0866.

    Još jedna zanimljiva sličnost između LuaDream-a i KEYPLUG-a je da oba implantata podržavaju QUIC i WebSocket protokole za C2 komunikaciju, što ukazuje na zajedničke zahtjeve i vjerovatno prisustvo digitalnog intendanta koji stoji iza koordinacije.

    „Nismo primijetili konkretne tehničke pokazatelje koji potvrđuju umiješanost zajedničkog prodavca ili digitalnog intendanta u slučaju LuaDream-a i KEYPLUG-a“, rekao je Aleksandar Milenkoski, viši istraživač prijetnji u SentinelLabs-u, za Hacker News.

    “Međutim, s obzirom na uočene pokazatelje zajedničkih razvojnih praksi i preklapanja u funkcionalnosti i dizajnu, ne isključujemo tu mogućnost. Zanimljiva je prevalencija sličnih slučajeva unutar kineske prijetnje, što ukazuje da bi mogli biti uspostavljeni interni i/ili eksterni kanali za isporuku zlonamjernog softvera operativnim timovima.”

    “Red po kojem LuaDream i KEYPLUG procjenjuju konfigurisani protokol između HTTP, TCP, WebSocket i QUIC je isti: HTTP, TCP, WebSocket i QUIC tim redoslijedom”, rekli su istraživači. “Tokovi izvršavanja LuaDream-a i KEYPLUG-a na visokom nivou su vrlo slični.”

    Usvajanje Lua-e je još jedan znak da hakeri, i usklađeni s nacionalnim državama i fokusirani na sajber kriminal, sve više usmjeravaju svoj pogled na neobične programske jezike kao što su DLang i Nim kako bi izbjegli otkrivanje i opstali u okruženju žrtava tokom dužeg vremenskog perioda.

    Zlonamjerni softver baziran na Lua-u, posebno, uočen je samo nekoliko puta u divljini u protekloj deceniji. Ovo uključuje Flame, Animal Farm (aka SNOWGLOBE) i Projekt Sauron.

    „Postoje snažna preklapanja u operativnoj infrastrukturi, ciljanju i TTP-ovima koji povezuju Sandman APT sa protivnicima sa sjedištem u Kini koji koriste backdoor KEYPLUG, posebno Storm-0866/Red Dev 40“, rekli su istraživači. “Ovo naglašava složenu prirodu kineske prijetnje.”

    Izvor: The Hacker News

    Recent Articles

    spot_img

    Related Stories