Otkrivena su taktička i ciljana preklapanja između enigmatične napredne trajne prijetnje (APT) zvane Sandman i klastera prijetnji sa sjedištem u Kini za koji se zna da koristi pozadinska vrata poznata kao KEYPLUG.
Procjena dolazi zajedno od SentinelOnea, PwC-a i Microsoft Threat Intelligence tima na osnovu činjenice da su protivnikovi malver LuaDream i KEYPLUG utvrđeni da kohabitiraju u istim mrežama žrtava.
Microsoft i PwC prate aktivnost pod nazivima Storm-0866 i Red Dev 40, respektivno.
“Sandman i Storm-0866/Red Dev 40 dijele prakse kontrole i upravljanja infrastrukturom, uključujući odabir hosting provajdera i konvencije o imenovanju domena”, navode kompanije u izvještaju koji je podijeljen za The Hacker News.
“Implementacija LuaDream-a i KEYPLUG-a otkriva indikatore zajedničkih razvojnih praksi i preklapanja u funkcionalnostima i dizajnu, sugerišući zajedničke funkcionalne zahtjeve njihovih operatera.”
SentinelOne je prvi put razotkrio Sandmana u septembru 2023. godine, sa detaljima o napadima na telekomunikacione provajdere na Bliskom istoku, zapadnoj Evropi i Južnoj Aziji koristeći novi implant kodnog imena LuaDream. Upadi su zabilježeni u avgustu 2023.
Storm-0866/Red Dev 40, s druge strane, odnosi se na APT klaster u nastajanju koji prvenstveno izdvaja entitete na Bliskom istoku i južnoazijskom potkontinentu, uključujući telekomunikacione provajdere i vladine entitete.
Jedan od ključnih alata u arsenalu Storm-0866 je KEYPLUG, backdoor koji je prvi otkrio Mandiant u vlasništvu Googlea kao dio napada koje je pokrenuo kineski haker APT41 (aka Brass Typhoon ili Barium) kako bi se infiltrirao u šest mreža američke državne vlade između maja 2021. i februara 2022.
U izvještaju objavljenom ranije ovog marta, Recorded Future pripisuje upotrebu KEYPLUG-a kineskoj državno sponzorisanoj hakerskoj grupi koju prati kao RedGolf, za koju se kaže da se “usko preklapa s aktivnostima prijetnji prijavljenih pod pseudonima APT41/Barium”.
“Pažljivo ispitivanje implementacije i C2 infrastrukture ovih različitih sojeva malvera otkrilo je pokazatelje zajedničkog razvoja, kao i prakse kontrole i upravljanja infrastrukturom, kao i neka preklapanja u funkcionalnosti i dizajnu, sugerišući zajedničke funkcionalne zahtjeve njihovih operatera”, ističu kompanije.
Jedno od značajnih preklapanja je par LuaDream C2 domena pod nazivom “dan.det-ploshadka[.]com” i “ssl.e-novauto[.]com”, koji je takođe stavljen da se koristi kao KEYPLUG C2 server i koji je vezan za Storm-0866.
Još jedna zanimljiva sličnost između LuaDream-a i KEYPLUG-a je da oba implantata podržavaju QUIC i WebSocket protokole za C2 komunikaciju, što ukazuje na zajedničke zahtjeve i vjerovatno prisustvo digitalnog intendanta koji stoji iza koordinacije.
„Nismo primijetili konkretne tehničke pokazatelje koji potvrđuju umiješanost zajedničkog prodavca ili digitalnog intendanta u slučaju LuaDream-a i KEYPLUG-a“, rekao je Aleksandar Milenkoski, viši istraživač prijetnji u SentinelLabs-u, za Hacker News.
“Međutim, s obzirom na uočene pokazatelje zajedničkih razvojnih praksi i preklapanja u funkcionalnosti i dizajnu, ne isključujemo tu mogućnost. Zanimljiva je prevalencija sličnih slučajeva unutar kineske prijetnje, što ukazuje da bi mogli biti uspostavljeni interni i/ili eksterni kanali za isporuku zlonamjernog softvera operativnim timovima.”
“Red po kojem LuaDream i KEYPLUG procjenjuju konfigurisani protokol između HTTP, TCP, WebSocket i QUIC je isti: HTTP, TCP, WebSocket i QUIC tim redoslijedom”, rekli su istraživači. “Tokovi izvršavanja LuaDream-a i KEYPLUG-a na visokom nivou su vrlo slični.”
Usvajanje Lua-e je još jedan znak da hakeri, i usklađeni s nacionalnim državama i fokusirani na sajber kriminal, sve više usmjeravaju svoj pogled na neobične programske jezike kao što su DLang i Nim kako bi izbjegli otkrivanje i opstali u okruženju žrtava tokom dužeg vremenskog perioda.
Zlonamjerni softver baziran na Lua-u, posebno, uočen je samo nekoliko puta u divljini u protekloj deceniji. Ovo uključuje Flame, Animal Farm (aka SNOWGLOBE) i Projekt Sauron.
„Postoje snažna preklapanja u operativnoj infrastrukturi, ciljanju i TTP-ovima koji povezuju Sandman APT sa protivnicima sa sjedištem u Kini koji koriste backdoor KEYPLUG, posebno Storm-0866/Red Dev 40“, rekli su istraživači. “Ovo naglašava složenu prirodu kineske prijetnje.”
Izvor: The Hacker News