Les chercheurs dévoilent le lien caché entre Sandman APT et la porte dérobée KEYPLUG en Chine

Des chevauchements tactiques et de ciblage ont été découverts entre l’énigmatique menace persistante avancée (APT) appelée Sandman et un groupe de menaces basé en Chine qui est connu pour utiliser une porte dérobée connue sous le nom de KEYPLUG.

L’évaluation provient conjointement de SentinelOne, de PwC et de l’équipe de renseignement sur les menaces de Microsoft, car il a été déterminé que les logiciels malveillants LuaDream et KEYPLUG, basés sur le langage Lua, cohabitent « dans les mêmes réseaux de victimes ».

Microsoft et PwC suivent cette activité sous les noms de Storm-0866 et Red Dev 40, respectivement.

« Sandman et Storm-0866/Red Dev 40 partagent des pratiques de contrôle et de gestion de l’infrastructure, y compris des choix de fournisseurs d’hébergement et des conventions de dénomination de domaine », ont déclaré les entreprises dans un rapport transmis à The Hacker News.

« La mise en œuvre de LuaDream et de KEYPLUG révèle des indicateurs de pratiques de développement partagées et des chevauchements dans les fonctionnalités et la conception, ce qui suggère des exigences fonctionnelles partagées par leurs opérateurs.

Vous êtes-vous déjà demandé pourquoi l’ingénierie sociale est si efficace ? Plongez dans la psychologie des cyberattaquants lors de notre prochain webinaire.

Le marchand de sable a été révélé pour la première fois par SentinelOne en septembre 2023, détaillant ses attaques contre des fournisseurs de télécommunications au Moyen-Orient, en Europe occidentale et en Asie du Sud, à l’aide d’un nouvel implant dont le nom de code est LuaDream. Les intrusions ont été enregistrées en août 2023.
Storm-0866/Red Dev 40, quant à lui, fait référence à un groupe APT émergent ciblant principalement des entités du Moyen-Orient et du sous-continent sud-asiatique, notamment des fournisseurs de télécommunications et des entités gouvernementales.
L’un des outils clés de l’arsenal de Storm-0866 est KEYPLUG, une porte dérobée qui a été révélée pour la première fois par Mandiant, une société appartenant à Google, dans le cadre d’attaques montées par l’acteur APT41 (alias Brass Typhoon ou Barium), basé en Chine, pour infiltrer six réseaux gouvernementaux d’États américains entre mai 2021 et février 2022.

Dans un rapport publié au début du mois de mars, Recorded Future a attribué l’utilisation de KEYPLUG à un groupe de menace parrainé par l’État chinois qu’il suit sous le nom de RedGolf et qui, selon lui, « recoupe étroitement l’activité de menace signalée sous les pseudonymes d’APT41/BARIUM ».

« Un examen approfondi de la mise en œuvre et de l’infrastructure C2 de ces souches distinctes de logiciels malveillants a révélé des indicateurs de développement partagé ainsi que des pratiques de gestion des terres de contrôle de l’infrastructure, et certains chevauchements dans les fonctionnalités et la conception, suggérant des exigences fonctionnelles partagées par leurs opérateurs », ont souligné les entreprises.

L’un des chevauchements les plus notables est celui de deux domaines C2 de LuaDream nommés « dan .det -ploshadka[.]com » et « ssl .e -novauto[.]com », qui a également été utilisé comme serveur C2 deKEYPLUG et qui a été identifié dans le cadre de la tempête 0866.Une autre similitude intéressante entre LuaDream etKEYPLUG est que les deux implants prennent en charge les protocolesQUIC et WebSocket pour les communications C2, ce qui indique des exigences communes et la présence probable d’un quartier général numérique au sein de la coordination.

« L’ordre dans lequel LuaDream etKEYPLUG ont configuré les protocoles HTTP, TCP, WebSocket et QUIC est HTTP, TCP, WebSocket et QUIC. Les flux d’exécution à haut niveau de flexibilité de LuaDream et deKEYPLUG sont très similaires. »L’adoption de Lua est un autre signe que les acteurs de la menace, alignés sur la cybercriminalité des nations et des États, se tournent de plus en plus vers des langages de programmation communs, comme Lua, pour échapper à la détection et survivre dans les environnements des victimes pendant de longues périodes de temps.Les logiciels malveillants basés sur Lua, en particulier, n’ont été repérés que quelques fois au cours de la dernière décennie, notamment FlameAnimal Farm (alias SNOWGLOBE) et Project Sauron. »Il existe de forts chevauchements entre les infrastructures opérationnelles ciblant les TTP et l’association de SandmanAPT avec des adversaires basés en Chine utilisantKEYPLUGBackdoorSTORM 0866 /Red Dev, ce qui met en évidence la complexité du paysage des menaces chinoises. « Inscrivez-vous gratuitement pour construire votre propre programme de sécurité aujourd’hui

Bienvenue sur le blog Cybersecurity Daily Tips ! Vous y trouverez tout ce dont vous avez besoin pour vous tenir au courant des dernières nouvelles, idées et conseils en matière de cybersécurité. Notre objectif est de vous fournir les informations dont vous avez besoin pour rester informé et vous protéger du paysage de la cybersécurité en constante évolution.