Тактические и таргетинга перекрытий были обнаружены между загадочным сложных постоянных угроз (apt) называют дремой , а в Китае опасный кластер, который, как известно, использовать лазейку известный как KEYPLUG.
Оценка, проведенная совместно SentinelOne, PwC и командой Microsoft Threat Intelligence, основана на том факте, что вредоносное ПО на основе Lua злоумышленника LuaDream и KEYPLUG, как было установлено, совместно проживают в одних и тех же сетях жертв.
Microsoft и PwC отслеживают активность под именами Storm-0866 и Red Dev 40 соответственно.
"Sandman и Storm-0866 / Red Dev 40 совместно используют методы контроля инфраструктуры и управления, включая выбор хостинг-провайдера и соглашения об именовании доменов", - сказали компании в отчете, опубликованном The Hacker News.
"Внедрение LuaDream и KEYPLUG выявляет признаки общих методов разработки и совпадений в функциональности и дизайне, предполагая общие функциональные требования их операторов".
Sandman была впервые разоблачена SentinelOne в сентябре 2023 года, подробно описав свои атаки на телекоммуникационных провайдеров на Ближнем Востоке, в Западной Европе и Южной Азии с использованием нового имплантата под кодовым названием LuaDream. Вторжения были зафиксированы в августе 2023 года.
С другой стороны, Storm-0866 / Red Dev 40 относится к формирующемуся кластеру APT, в котором в первую очередь выделяются организации на Ближнем Востоке и южноазиатском субконтиненте, включая телекоммуникационных провайдеров и государственные структуры.
Одним из ключевых инструментов в арсенале Storm-0866 является KEYPLUG, бэкдор, который был впервые раскрыт принадлежащей Google компанией Mandiant в рамках атак, организованных китайским хакером APT41 (он же Brass Typhoon или Barium) для проникновения в шесть правительственных сетей штатов США в период с мая 2021 по февраль 2022 года.
В отчете, опубликованном ранее в марте этого года, Recorded Future приписала использование KEYPLUG спонсируемой китайским государством группе по борьбе с угрозами, которую она отслеживает как RedGolf, которая, по ее словам, "тесно пересекается с деятельностью по угрозам, о которой сообщается под псевдонимами APT41 / Barium".
"Тщательное изучение реализации и инфраструктуры C2 этих различных типов вредоносных программ выявило признаки совместной разработки, а также методы контроля инфраструктуры и управления ею, а также некоторые совпадения в функциональности и дизайне, предполагающие общие функциональные требования их операторов", - отметили компании.
Одним из заметных совпадений является пара доменов LuaDream C2 с именами "dan.det-ploshadka[.]com" и "ssl.e-novauto[.]com", которые также были использованы в качестве сервера KEYPLUG C2 и которые были привязаны к Storm-0866.
Еще одна интересная общность между LuaDream и KEYPLUG заключается в том, что оба имплантата поддерживают протоколы QUIC и WebSocket для связи C2, что указывает на общие требования и вероятное присутствие цифрового интенданта, стоящего за координацией.
"Мы не наблюдали конкретных технических индикаторов, подтверждающих причастность общего поставщика или digital quartermaster к делу LuaDream и KEYPLUG", - сказал The Hacker News Александар Миленкоски, старший исследователь угроз в SentinelLabs.
"Однако, учитывая наблюдаемые показатели общих методов разработки и совпадения в функциональности и дизайне, мы не исключаем такой возможности. Обращает на себя внимание распространенность подобных случаев в китайском ландшафте угроз, что указывает на наличие установленных внутренних и / или внешних каналов поставки вредоносного ПО оперативным группам. "
"Порядок, в котором LuaDream и KEYPLUG оценивают настроенный протокол среди HTTP, TCP, WebSocket и QUIC, одинаков: HTTP, TCP, WebSocket и QUIC в этом порядке", - сказали исследователи. "Высокоуровневые потоки выполнения LuaDream и KEYPLUG очень похожи".
Внедрение Lua является еще одним признаком того, что субъекты угроз, как национально-государственные, так и киберпреступные, все чаще обращают внимание на необычные языки программирования, такие как DLang и Nim, чтобы избежать обнаружения и сохраняться в среде жертв в течение длительных периодов времени.
Вредоносное ПО на основе Lua, в частности, за последнее десятилетие было замечено в дикой природе всего несколько раз. Это включает Flame, Animal Farm (он же SNOWGLOBE) и Project Sauron.
"Существуют сильные совпадения в операционной инфраструктуре, таргетинге и TTPS, связывающие Sandman APT с китайскими злоумышленниками, использующими бэкдор KEYPLUG, в частности Storm-0866 / Red Dev 40", - сказали исследователи. "Это подчеркивает сложный характер китайского ландшафта угроз".
Оценка, проведенная совместно SentinelOne, PwC и командой Microsoft Threat Intelligence, основана на том факте, что вредоносное ПО на основе Lua злоумышленника LuaDream и KEYPLUG, как было установлено, совместно проживают в одних и тех же сетях жертв.
Microsoft и PwC отслеживают активность под именами Storm-0866 и Red Dev 40 соответственно.
"Sandman и Storm-0866 / Red Dev 40 совместно используют методы контроля инфраструктуры и управления, включая выбор хостинг-провайдера и соглашения об именовании доменов", - сказали компании в отчете, опубликованном The Hacker News.
"Внедрение LuaDream и KEYPLUG выявляет признаки общих методов разработки и совпадений в функциональности и дизайне, предполагая общие функциональные требования их операторов".
Sandman была впервые разоблачена SentinelOne в сентябре 2023 года, подробно описав свои атаки на телекоммуникационных провайдеров на Ближнем Востоке, в Западной Европе и Южной Азии с использованием нового имплантата под кодовым названием LuaDream. Вторжения были зафиксированы в августе 2023 года.
С другой стороны, Storm-0866 / Red Dev 40 относится к формирующемуся кластеру APT, в котором в первую очередь выделяются организации на Ближнем Востоке и южноазиатском субконтиненте, включая телекоммуникационных провайдеров и государственные структуры.
Одним из ключевых инструментов в арсенале Storm-0866 является KEYPLUG, бэкдор, который был впервые раскрыт принадлежащей Google компанией Mandiant в рамках атак, организованных китайским хакером APT41 (он же Brass Typhoon или Barium) для проникновения в шесть правительственных сетей штатов США в период с мая 2021 по февраль 2022 года.
В отчете, опубликованном ранее в марте этого года, Recorded Future приписала использование KEYPLUG спонсируемой китайским государством группе по борьбе с угрозами, которую она отслеживает как RedGolf, которая, по ее словам, "тесно пересекается с деятельностью по угрозам, о которой сообщается под псевдонимами APT41 / Barium".
"Тщательное изучение реализации и инфраструктуры C2 этих различных типов вредоносных программ выявило признаки совместной разработки, а также методы контроля инфраструктуры и управления ею, а также некоторые совпадения в функциональности и дизайне, предполагающие общие функциональные требования их операторов", - отметили компании.
Одним из заметных совпадений является пара доменов LuaDream C2 с именами "dan.det-ploshadka[.]com" и "ssl.e-novauto[.]com", которые также были использованы в качестве сервера KEYPLUG C2 и которые были привязаны к Storm-0866.
Еще одна интересная общность между LuaDream и KEYPLUG заключается в том, что оба имплантата поддерживают протоколы QUIC и WebSocket для связи C2, что указывает на общие требования и вероятное присутствие цифрового интенданта, стоящего за координацией.
"Мы не наблюдали конкретных технических индикаторов, подтверждающих причастность общего поставщика или digital quartermaster к делу LuaDream и KEYPLUG", - сказал The Hacker News Александар Миленкоски, старший исследователь угроз в SentinelLabs.
"Однако, учитывая наблюдаемые показатели общих методов разработки и совпадения в функциональности и дизайне, мы не исключаем такой возможности. Обращает на себя внимание распространенность подобных случаев в китайском ландшафте угроз, что указывает на наличие установленных внутренних и / или внешних каналов поставки вредоносного ПО оперативным группам. "
"Порядок, в котором LuaDream и KEYPLUG оценивают настроенный протокол среди HTTP, TCP, WebSocket и QUIC, одинаков: HTTP, TCP, WebSocket и QUIC в этом порядке", - сказали исследователи. "Высокоуровневые потоки выполнения LuaDream и KEYPLUG очень похожи".
Внедрение Lua является еще одним признаком того, что субъекты угроз, как национально-государственные, так и киберпреступные, все чаще обращают внимание на необычные языки программирования, такие как DLang и Nim, чтобы избежать обнаружения и сохраняться в среде жертв в течение длительных периодов времени.
Вредоносное ПО на основе Lua, в частности, за последнее десятилетие было замечено в дикой природе всего несколько раз. Это включает Flame, Animal Farm (он же SNOWGLOBE) и Project Sauron.
"Существуют сильные совпадения в операционной инфраструктуре, таргетинге и TTPS, связывающие Sandman APT с китайскими злоумышленниками, использующими бэкдор KEYPLUG, в частности Storm-0866 / Red Dev 40", - сказали исследователи. "Это подчеркивает сложный характер китайского ландшафта угроз".
