高级持续威胁操作

关键要点

攻击者：Sandman 和中国威胁集团 Storm0866又名 Red Dev 40。相似性：两者的攻击技术存在显著相似之处，展现于其恶意软件 LuaDream 和 KEYPLUG 的共同存在。后门设计：Sandman 和 Storm0866 的后门在设计和功能上都相似。协议评估：LuaDream 和 KEYPLUG 在评估配置协议的顺序相同。供应渠道：虽然没有证据表明 LuaDream 和 KEYPLUG 由同一厂商开发，但恶意软件可能通过中国威胁环境中的专门渠道供应。

近期的报道显示，Sandman 和 Storm0866 这两个先进的持续威胁APT行为体在其攻击手法上显著相似。根据 The Hacker News 的报道，两者的恶意软件LuaDreamSandman 的和 KEYPLUGStorm0866 的在同一网络中的共存，充分证明了这一点。根据来自 PwC、SentinelOne 和 Microsoft 威胁情报团队 的报告，这两组的基础设施控制及管理方式也表现出令人惊讶的一致性。研究者指出：

“LuaDream 和 KEYPLUG 评估配置协议HTTP、TCP、WebSocket 和 QUIC时的顺序完全相同：都是 HTTP、TCP、WebSocket 和 QUIC。两个恶意软件的高层执行流程也十分相似。”

加速器梯子

尽管目前尚未有证据表明 LuaDream 和 KEYPLUG 由同一个供应商开发，但 SentinelLabs 的研究员 Aleksandar Milenkoski 指出，存在通过中国威胁生态系统中的专用渠道提供恶意软件的可能性。

元素Sandman (LuaDream)Storm0866 (KEYPLUG)恶意软件类型LuaDreamKEYPLUG相似点攻击手法、后门设计攻击手法、后门设计协议评估顺序HTTP TCP WebSocket QUICHTTP TCP WebSocket QUIC

这些信息的揭示让我们对当前的网络安全形势有了更深刻的理解，并提醒我们在应对威胁时需要加倍小心，尤其在面对潜在的供应链攻击时。