Sandman APT kapcsolódásai
A SentinelLabs, a Microsoft és a PwC fenyegetéselemző kutatói jelentést adtak ki a Sandman APT-csoportról és attribúció szempontjából releváns információkat adnak ki. Ismertetik a Sandman és egy feltételezett kínai székhelyű fenyegető szereplő közötti kapcsolatokat, akik a közös KEYPLUG backdoor – STORM-0866/Red Dev 40 – segítségével működnek, ami tartalmazza a viktimológiai átfedéseket, az együttélést és a C2-infrastruktúra ellenőrzésének és kezelésének közös gyakorlatait.
A STORM-0866/Red Dev 40 egy fejlődő APT fenyegetéscsoport, amely elsősorban a Közel-Keleten és a dél-ázsiai szubkontinensen található szervezeteket, köztük távközlési szolgáltatókat és kormányzati szerveket céloz meg. Ezek azok a régiók és ágazatok, ahol szintén megfigyelték a Sandman tevékenységét. A KEYPLUG moduláris hátsó ajtó a STORM-0866/Red Dev 40 arzenáljának egyik fő eleme. A Mandiant először az APT41 kínai APT csoport által az amerikai kormányzati szervekbe történő behatolások részeként számolt be a KEYPLUG-ról.
A Microsoft és a PwC ezt követően legalább három másik, a KEYPLUG-ot érintő fejlődő fürtöt azonosított, köztük a STORM-0866/Red Dev 40-et.
Megkülönböztetik a STORM-0866/Red Dev 40-et a többi klasztertől a kártevők sajátos jellemzői alapján, mint például a KEYPLUG C2 kommunikációjához használt egyedi titkosítási kulcsok, valamint a nagyobb működési biztonságérzet, például a C2-szerverek valódi tárhelyének elrejtésére szolgáló felhőalapú fordított proxy-infrastruktúrára való támaszkodás. A SentinelLabs és a Microsoft megfigyelte, hogy a Sandman LuaDream és a KEYPLUG implantátumok ugyanabban az áldozati környezetben élnek együtt, némelyikük ugyanazon a végponton.
Megállapították, hogy a Sandman APT és a KEYPLUG hátsó ajtót használó, kínai székhelyű ellenfelek – különösen a STORM-0866/Red Dev 40 – között erős átfedések vannak az operatív infrastruktúrában, a célpontokban és a TTP-kben. Ez rávilágít a kínai fenyegetések összetett jellegére. Az azt alkotó fenyegető szereplők szinte biztosan továbbra is együttműködnek és koordinálnak, új megközelítéseket keresve a rosszindulatú szoftverek funkcionalitásának, rugalmasságának és lopakodó képességének fejlesztésére. A Lua-fejlesztési paradigma átvétele jól illusztrálja ezt.
A kutatók megosztották az azonosításhoz szükséges mutatókat is.