Исследователи обнаружили связь между группой Sandman и бэкдором KEYPLUG

В новом отчёте, совместно подготовленным компаниями SentinelOne, PwC и командой Microsoft Threat Intelligence, раскрыты тактические и целевые пересечения между загадочной APT-группировкой Sandman, и киберпреступниками из Китая, которые используют в своих атаках бэкдор под названием KEYPLUG.

Отчёт основан на том, что вредоносное ПО LuaDream и KEYPLUG были обнаружены в одних и тех же заражённых сетях. Microsoft и PwC отслеживают эту вредоносную активность под названиями Storm-0866 и Red Dev 40 соответственно, пишут в Securitylab.

Группа Sandman, впервые обнаруженная SentinelOne в сентябре этого года, атаковала телекоммуникационных провайдеров на Ближнем Востоке, в Западной Европе и Южной Азии с помощью нового имплантата LuaDream. Случаи непосредственной компрометации датируются августом этого года.

Одним из ключевых инструментов группировки является бэкдор KEYPLUG, впервые описанный специалистами Mandiant в рамках атак, проведённых китайской группой APT41 (также известной как Brass Typhoon или Barium) для проникновения в сети шести государственных учреждений США в промежутке с мая 2021 по февраль 2022 года.

В отчёте, опубликованном в марте этого года Recorded Future, использование KEYPLUG было приписано китайской государственной группе угроз, которую специалисты отслеживают под названием RedGolf. Кроме того, в том же отчёте сказано, что она тесно пересекается с деятельностью группировок, отслеживаемых под псевдонимами APT41/Barium.

Одно из самых заметных совпадений — пара C2-доменов LuaDream, которые также использовались в качестве сервера C2 KEYPLUG и ранее были связаны со Storm-0866.

Впрочем, на этом сходства не заканчиваются. Оба имплантата также поддерживают протоколы QUIC и WebSocket для связи с C2, что указывает на общие требования к каналу коммуникации.

Отчёт подчёркивает, что «существуют сильные пересечения в операционной инфраструктуре, целевом фокусе и тактико-технических приёмах, ассоциирующих APT Sandman с китайскими противниками, использующими бэкдор KEYPLUG, что подчёркивает сложность китайского ландшафта угроз».