Новости Песочный след в киберпространстве: исследователи обнаружили связь между группой Sandman и бэкдором KEYPLUG

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Китайские хакеры и их роль в увеличении глобальных цифровых рисков.


dw4l0i1lq4tbads14mn1ksc98rq06wag.jpg


В Для просмотра ссылки Войди или Зарегистрируйся , совместно подготовленным компаниями SentinelOne , PwC и командой Microsoft Threat Intelligence , раскрыты тактические и целевые пересечения между загадочной APT-группировкой Sandman, и киберпреступниками из Китая, которые используют в своих атаках бэкдор под названием KEYPLUG.

Отчёт основан на том, что вредоносное ПО LuaDream и KEYPLUG были обнаружены в одних и тех же заражённых сетях. Microsoft и PwC отслеживают эту вредоносную активность под названиями Storm-0866 и Red Dev 40 соответственно.

Группа Sandman, впервые обнаруженная SentinelOne в сентябре этого года, атаковала телекоммуникационных провайдеров на Ближнем Востоке, в Западной Европе и Южной Азии с помощью нового имплантата LuaDream. Случаи непосредственной компрометации датируются августом этого года.

Одним из ключевых инструментов группировки является бэкдор KEYPLUG, Для просмотра ссылки Войди или Зарегистрируйся специалистами Mandiant в рамках атак, проведённых китайской группой APT41 (также известной как Brass Typhoon или Barium) для проникновения в сети шести государственных учреждений США в промежутке с мая 2021 по февраль 2022 года.

В Для просмотра ссылки Войди или Зарегистрируйся , опубликованном в марте этого года Recorded Future , использование KEYPLUG было приписано китайской государственной группе угроз, которую специалисты отслеживают под названием RedGolf. Кроме того, в том же отчёте сказано, что она тесно пересекается с деятельностью группировок, отслеживаемых под псевдонимами APT41/Barium.

Одно из самых заметных совпадений — пара C2-доменов LuaDream, которые также использовались в качестве сервера C2 KEYPLUG и ранее были связаны со Storm-0866.

Впрочем, на этом сходства не заканчиваются. Оба имплантата также поддерживают протоколы QUIC и WebSocket для связи с C2, что указывает на общие требования к каналу коммуникации.

Отчёт подчёркивает, что «существуют сильные пересечения в операционной инфраструктуре, целевом фокусе и тактико-технических приёмах, ассоциирующих APT Sandman с китайскими противниками, использующими бэкдор KEYPLUG, что подчёркивает сложность китайского ландшафта угроз».
 
Источник новости
www.securitylab.ru

Похожие темы