Yaygın olarak görülen kötü amaçlı yazılımlar, bir grup araştırmacının, dünya genelindeki telekomünikasyon hizmet sağlayıcılarına yönelik siber saldırılarıyla tanınan, bir zamanlar gizemli olan Sandman tehdit grubunu, Çin hükümetinin desteklediği, giderek büyüyen gelişmiş kalıcı tehdit (APT) grupları ağına bağlamasına yol açtı.
tehdit istihbaratı değerlendirmesi Microsoft, SentinelLabs ve PwC arasındaki işbirliğinin bir sonucudur ve uygulamanın genel karmaşıklığına ve genişliğine sadece küçük bir bakış sunmaktadır. Çin APT’si Araştırmacılara göre tehdit ortamı.
Sandman’in kimliği ilk kez ağustos ayında bir dizi olayın ardından belirlendi. Telekomünikasyon şirketlerine siber saldırı Orta Doğu, Batı Avrupa ve Güney Asya’da Lua programlama dilini temel alan “LuaDream” adlı bir arka kapının yanı sıra C++ ile uygulanan “Keyplug” adlı bir arka kapı kullanıldı.
Ancak SentinelOne, analistlerinin şu ana kadar tehdit grubunun kökenlerini tespit edemediğini söyledi.
Yeni araştırma, “Analiz ettiğimiz numuneler, aynı şifreleme anahtarlarının kullanılması veya uygulamada doğrudan örtüşmeler gibi, onları yakından ilişkili veya aynı kaynaktan gelen olarak güvenle sınıflandıracak basit göstergeleri paylaşmıyor” dedi. “Ancak, ortak geliştirme uygulamalarına ilişkin göstergeler ve işlevsellik ve tasarımda bazı örtüşmeler gözlemledik; bu da operatörlerin ortak işlevsel gereksinimlerine işaret ediyor. Bu, Çin’in kötü amaçlı yazılım ortamında alışılmadık bir durum değil.”
Yeni raporda, Lua geliştirme uygulamalarının ve Keyplug arka kapısının benimsenmesinin, benzer şekilde Orta Doğu ve Güney Asya’daki telekomünikasyon şirketlerini hedef almasıyla bilinen Çin merkezli tehdit aktörü STORM-08/Red Dev 40 ile paylaşıldığı belirtiliyor.
Çin APT Bağlantıları
Raporda, ilk olarak bir Mandiant ekibinin rapor ettiği belirtildi. Tuş fişi arka kapısı kullanılıyor tarafından bilinen Çinli grup APT41 Raporda ayrıca Microsoft ve PwC ekiplerinin Keyplug arka kapısının Çin merkezli birden fazla tehdit grubuna aktarıldığı tespit edildiği belirtildi.
Araştırmacılara göre, en yeni Keyplug kötü amaçlı yazılımı, yeni gizleme araçlarıyla gruba yeni bir avantaj sağlıyor.
“STORM-0866/Red Dev 40’ı, KEYPLUG komut ve kontrol (C2) iletişimi için benzersiz şifreleme anahtarları ve buluta güvenme gibi daha yüksek operasyonel güvenlik duygusu gibi belirli kötü amaçlı yazılım özelliklerine dayanarak diğer kümelerden ayırıyorlar.” Rapora göre, C2 sunucularının gerçek barındırma konumlarını gizlemek için “tabanlı ters proxy altyapısı” kullanılıyor.
Araştırmacılar, C2 kurulumunun ve hem LuaDream hem de Keyplug kötü amaçlı yazılım türlerinin analizinin örtüşmeler gösterdiğini ve “operatörlerinin ortak işlevsel gereksinimlerine işaret ettiğini” ekledi.
arasında büyüyen, etkili işbirliği Çin APT gruplarının genişleyen labirenti Raporda, bunun siber güvenlik topluluğu arasında benzer bilgi paylaşımını gerektirdiği de belirtildi.
Raporda, “Bunu oluşturan tehdit aktörleri, kötü amaçlı yazılımlarının işlevselliğini, esnekliğini ve gizliliğini geliştirmek için yeni yaklaşımlar keşfederek işbirliği yapmaya ve koordine olmaya neredeyse kesinlikle devam edecek” dedi. “Lua geliştirme paradigmasının benimsenmesi bunun etkileyici bir örneğidir. Tehdit ortamında gezinmek, tehdit istihbaratı araştırma topluluğu içinde sürekli işbirliği ve bilgi paylaşımını gerektirir.”