Er zijn tactische en doelgerichte overlappingen ontdekt tussen de enigmatische geavanceerde persistente dreiging (APT). Zandman en een in China gevestigd dreigingscluster waarvan bekend is dat het een achterdeur gebruikt die bekend staat als KEYPLUG.
De beoordeling komt gezamenlijk van SentinelOne, PwC en het Microsoft Threat Intelligence-team, gebaseerd op het feit dat de op Lua gebaseerde malware LuaDream en KEYPLUG van de tegenstander vastbesloten zijn om samen te leven “in dezelfde slachtoffernetwerken.
Microsoft en PwC volgen de activiteit respectievelijk onder de namen Storm-0866 en Red Dev 40.
“Sandman en Storm-0866/Red Dev 40 delen infrastructuurcontrole en -beheerpraktijken, inclusief selecties van hostingproviders en domeinnaamconventies, aldus de bedrijven in een rapport gedeeld met The Hacker News.
“De implementatie van LuaDream en KEYPLUG onthult indicatoren van gedeelde ontwikkelingspraktijken en overlappingen in functionaliteiten en ontwerp, wat duidt op gedeelde functionele vereisten van hun operators.”
Sandman werd voor het eerst aan het licht gebracht door SentinelOne in september 2023, waarin de aanvallen op telecommunicatieaanbieders in het Midden-Oosten, West-Europa en Zuid-Azië werden beschreven met behulp van een nieuw implantaat met de codenaam LuaDream. De inbraken werden geregistreerd in augustus 2023.
Storm-0866/Red Dev 40 verwijst daarentegen naar een opkomend APT-cluster dat zich voornamelijk richt op entiteiten in het Midden-Oosten en het Zuid-Aziatische subcontinent, waaronder telecommunicatieaanbieders en overheidsinstanties.
Een van de belangrijkste tools in het arsenaal van Storm-0866 is KEYPLUG, een achterdeur die voor het eerst werd onthuld door Mandiant, eigendom van Google, als onderdeel van aanvallen van de in China gevestigde APT41-acteur (ook wel Brass Typhoon of Barium genoemd) om zes Amerikaanse staatsoverheidsnetwerken te infiltreren. tussen mei 2021 en februari 2022.
In een rapport dat eerder deze maand werd gepubliceerd, schreef Recorded Future het gebruik van KEYPLUG toe aan een door de Chinese staat gesponsorde dreigingsactiviteitsgroep die het volgt als RedGolf, waarvan het zei dat het “nauw overlapt met dreigingsactiviteit gerapporteerd onder de aliassen van APT41/BARIUM.”
“Een nauwkeurig onderzoek van de implementatie en de C2-infrastructuur van deze verschillende soorten malware bracht indicatoren aan het licht van gedeelde ontwikkeling, evenals infrastructuurcontrole en -beheerpraktijken, en enkele overlappingen in functionaliteit en ontwerp, wat duidt op gedeelde functionele vereisten van hun operators”, benadrukten de bedrijven. .
Een van de opmerkelijke overlappingen zijn twee LuaDream C2-domeinen met de naam “dan.det-ploshadka[.]com” en “ssl.e-novauto[.]com”, die ook is gebruikt als een KEYPLUG C2-server en die is gekoppeld aan Storm-0866.
Een andere interessante overeenkomst tussen LuaDream en KEYPLUG is dat beide implantaten QUIC- en WebSocket-protocollen voor C2-communicatie ondersteunen, wat wijst op gemeenschappelijke vereisten en de waarschijnlijke aanwezigheid van een digitale kwartiermeester achter de coördinatie.
“De volgorde waarin LuaDream en KEYPLUG het geconfigureerde protocol evalueren tussen HTTP, TCP, WebSocket en QUIC is hetzelfde: HTTP, TCP, WebSocket en QUIC in die volgorde”, aldus de onderzoekers. “De uitvoeringsstromen op hoog niveau van LuaDream en KEYPLUG lijken erg op elkaar.”
De acceptatie van Lua is een teken dat bedreigingsactoren, zowel op de natiestaten gericht als op cybercriminaliteit, hun zinnen steeds meer richten op ongebruikelijke programmeertalen zoals DLang en Nim om detectie te omzeilen en gedurende langere tijd in slachtofferomgevingen te blijven bestaan.
Met name op Lua gebaseerde malware is de afgelopen tien jaar slechts een handvol keer in het wild gesignaleerd. Dit omvat Flame, Animal Farm (ook bekend als SNOWGLOBE) en Project Sauron.
“Er zijn sterke overlappingen in de operationele infrastructuur, targeting en TTP’s die de Sandman APT associëren met in China gevestigde tegenstanders die de KEYPLUG-achterdeur gebruiken, met name STORM-0866/Red Dev 40”, aldus de onderzoekers. “Dit benadrukt de complexe aard van het Chinese dreigingslandschap.”
