Foram descobertas sobreposições táticas e de direcionamento entre a ameaça persistente avançada (APT) enigmática chamada Sandman e um cluster de ameaças baseado na China conhecido por usar um backdoor conhecido como KEYPLUG.
A avaliação vem conjuntamente da SentinelOne, PwC, e da equipe Microsoft Threat Intelligence, com base no fato de que o malware Lua-based do adversário, LuaDream e KEYPLUG, foram determinados a coabitar nas mesmas redes de vítimas.
Microsoft e PwC estão rastreando a atividade sob os nomes Storm-0866 e Red Dev 40, respectivamente.
"Sandman e Storm-0866/Red Dev 40 compartilham práticas de controle e gestão de infraestrutura, incluindo seleções de provedores de hospedagem, e convenções de nomes de domínios", disseram as empresas em um relatório compartilhado com o The Hacker News.
"A implementação de LuaDream e KEYPLUG revela indicadores de práticas de desenvolvimento compartilhadas e sobreposições em funcionalidades e design, sugerindo requisitos funcionais compartilhados por seus operadores."
O Sandman foi exposto pela primeira vez pela SentinelOne em setembro de 2023, detalhando seus ataques a provedores de telecomunicações no Oriente Médio, Europa Ocidental e Sul da Ásia usando um novo implante codinome LuaDream.
As invasões foram registradas em agosto de 2023.
Storm-0866/Red Dev 40, por outro lado, refere-se a um emergente cluster APT focando principalmente em entidades no Oriente Médio e no subcontinente do sul da Ásia, incluindo provedores de telecomunicações e entidades governamentais.
Uma das principais ferramentas no arsenal da Storm-0866 é o KEYPLUG, um backdoor que foi revelado pela primeira vez pela Google-owned Mandiant como parte de ataques realizados pelo ator APT41 baseado na China (também conhecido como Brass Typhoon ou Barium) para infiltrar seis redes governamentais estaduais dos EUA entre maio de 2021 e fevereiro de 2022.
Em um relatório publicado anteriormente em março, a Recorded Future atribuiu o uso do KEYPLUG a um grupo de atividades de ameaça patrocinado pelo estado chinês que está rastreando como RedGolf, que disse *closely overlaps with threat activity reported under the aliases of APT41/Barium.*
"Uma análise cuidadosa da implementação e da infraestrutura C2 dessas diferentes cepas de malware revelou indicadores de desenvolvimento compartilhado, bem como práticas de controle e gestão de infraestrutura, e algumas sobreposições em funcionalidades e design, sugerindo requisitos funcionais compartilhados por seus operadores", as empresas destacaram.
Uma das sobreposições notáveis é um par de domínios C2 LuaDream chamados "dan.det-ploshadka[.]com" e "ssl.e-novauto[.]com", que também foram usados como um servidor C2 KEYPLUG e que foram vinculados ao Storm-0866.
Outra interessante comum entre LuaDream e KEYPLUG é que ambos os implantes suportam protocolos QUIC e WebSocket para comunicações C2, indicando requisitos comuns e a provável presença de um intendente digital por trás da coordenação.
"Não observamos indicadores técnicos concretos confirmando o envolvimento de um fornecedor compartilhado ou intendente digital no caso do LuaDream e KEYPLUG", disse Aleksandar Milenkoski, pesquisador sênior de ameaças na SentinelLabs, ao The Hacker News.
"No entanto, dado os indicadores observados de práticas de desenvolvimento compartilhadas, e sobreposições em funcionalidades e design, não excluímos essa possibilidade.
É digno de nota a prevalência de casos semelhantes dentro da paisagem de ameaças chinesa, indicando que poderiam haver canais internos e/ou externos estabelecidos para fornecer malware para equipes operacionais.
"A ordem na qual LuaDream e KEYPLUG avaliam o protocolo configurado entre HTTP, TCP, WebSocket e QUIC é a mesma: HTTP, TCP, WebSocket e QUIC nessa ordem," disseram os pesquisadores.
"Os fluxos de execução de alto nível do LuaDream e do KEYPLUG são muito semelhantes."
A adoção do Lua é outro sinal de que os atores de ameaças, tanto alinhados ao estado-nação quanto focados em cibercrime, estão cada vez mais direcionando sua atenção para linguagens de programação incomuns como DLang e Nim para evadir detecção e persistir em ambientes de vítimas por longos períodos de tempo.
Malware baseado em Lua, em particular, foi observado apenas algumas vezes na natureza na última década.
Isso inclui Flame, Animal Farm (também conhecido como SNOWGLOBE) e Projeto Sauron.
"Há fortes sobreposições na infraestrutura operacional, direcionamento e TTPs associando a APT Sandman com adversários baseados na China usando o backdoor KEYPLUG, Storm-0866/Red Dev 40 em particular", disseram os pesquisadores.
"Isso destaca a complexidade da paisagem de ameaças chinesa."
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...