Des chevauchements tactiques et de ciblage ont été découverts entre l’énigmatique menace persistante avancée (APT) appelée Marchand de sable et un cluster de menaces basé en Chine connu pour utiliser une porte dérobée connue sous le nom de KEYPLUG.
L’évaluation provient conjointement de SentinelOne, PwC et de l’équipe Microsoft Threat Intelligence, basée sur le fait que les logiciels malveillants basés sur Lua de l’adversaire, LuaDream et KEYPLUG, ont été déterminés comme cohabitant « dans les mêmes réseaux de victimes ».
Microsoft et PwC suivent l’activité sous les noms respectivement Storm-0866 et Red Dev 40.
« Sandman et Storm-0866/Red Dev 40 partagent des pratiques de contrôle et de gestion de l’infrastructure, y compris la sélection des fournisseurs d’hébergement et les conventions de dénomination de domaine, les sociétés dit dans un rapport partagé avec The Hacker News.
« La mise en œuvre de LuaDream et KEYPLUG révèle des indicateurs de pratiques de développement partagées et de chevauchements dans les fonctionnalités et la conception, suggérant des exigences fonctionnelles partagées par leurs opérateurs. »
Déchiffrer le code : découvrez comment les cyberattaquants exploitent la psychologie humaine
Vous êtes-vous déjà demandé pourquoi l’ingénierie sociale est si efficace ? Plongez en profondeur dans la psychologie des cyberattaquants dans notre prochain webinaire.
Sandman a été exposé pour la première fois par SentinelOne en septembre 2023, détaillant ses attaques contre les fournisseurs de télécommunications au Moyen-Orient, en Europe occidentale et en Asie du Sud à l’aide d’un nouvel implant nommé LuaDream. Les intrusions ont été enregistrées en août 2023.
Storm-0866/Red Dev 40, quant à lui, fait référence à un cluster APT émergent qui cible principalement les entités du Moyen-Orient et du sous-continent sud-asiatique, notamment les fournisseurs de télécommunications et les entités gouvernementales.
L’un des outils clés de l’arsenal de Storm-0866 est KEYPLUG, une porte dérobée qui a été divulguée pour la première fois par Mandiant, propriété de Google, dans le cadre d’attaques organisées par l’acteur basé en Chine APT41 (alias Brass Typhoon ou Barium) pour infiltrer six réseaux gouvernementaux américains. entre mai 2021 et février 2022.
Dans un rapport publié plus tôt en mars dernier, Recorded Future a attribué l’utilisation de KEYPLUG à un groupe d’activités menaçantes parrainé par l’État chinois qu’il suit sous le nom de RedGolf, et qui, selon lui, « recoupe étroitement les activités menaçantes signalées sous les pseudonymes d’APT41/BARIUM ».
« Un examen attentif de la mise en œuvre et de l’infrastructure C2 de ces différentes souches de logiciels malveillants a révélé des indicateurs de développement partagé ainsi que des pratiques de contrôle et de gestion de l’infrastructure, ainsi que certains chevauchements dans les fonctionnalités et la conception, suggérant des exigences fonctionnelles partagées par leurs opérateurs », ont souligné les sociétés. .
L’un des chevauchements notables concerne deux domaines LuaDream C2 nommés « dan.det-ploshadka ».[.]com » et « ssl.e-novauto[.]com », qui a également été utilisé comme serveur KEYPLUG C2 et qui a été lié à Storm-0866.
Un autre point commun intéressant entre LuaDream et KEYPLUG est que les deux implants prennent en charge les protocoles QUIC et WebSocket pour les communications C2, ce qui indique des exigences communes et la présence probable d’un quartier-maître numérique derrière la coordination.
« L’ordre dans lequel LuaDream et KEYPLUG évaluent le protocole configuré parmi HTTP, TCP, WebSocket et QUIC est le même : HTTP, TCP, WebSocket et QUIC dans cet ordre », ont indiqué les chercheurs. « Les flux d’exécution de haut niveau de LuaDream et KEYPLUG sont très similaires. »
L’adoption de Lua est un autre signe que les acteurs de la menace, qu’ils soient alignés sur les États-nations ou axés sur la cybercriminalité, se tournent de plus en plus vers des langages de programmation peu courants comme DLang et Nim pour échapper à la détection et persister dans les environnements des victimes pendant de longues périodes.
Les logiciels malveillants basés sur Lua, en particulier, n’ont été repérés qu’à quelques reprises au cours de la dernière décennie. Cela inclut Flame, Animal Farm (alias SNOWGLOBE) et Project Sauron.
« Il existe de forts chevauchements dans l’infrastructure opérationnelle, le ciblage et les TTP associant l’APT Sandman à des adversaires basés en Chine utilisant la porte dérobée KEYPLUG, STORM-0866/Red Dev 40 en particulier », ont indiqué les chercheurs. « Cela met en évidence la nature complexe du paysage des menaces chinoises. »