APT legat de China a zburat sub radar timp de un deceniu

Cercetătorii au identificat un APT mic, dar puternic, legat de China, care a trecut sub radar timp de aproape un deceniu, derulând campanii împotriva organizațiilor guvernamentale, educaționale și de telecomunicații din Asia de Sud-Est și Australia.

Cercetatorii de la SentinelLabs a spus APT, pe care l-au numit Aoqin Dragon, funcționează cel puțin din 2013. APT este „o echipă mică vorbitoare de chineză cu potențială asociere cu [un APT numit] UNC94”, au raportat ei.

Cercetătorii spun că una dintre tacticile și tehnicile lui Aoqin Dragon includ utilizarea documentelor rău intenționate cu tematică pornografică ca momeală pentru a atrage victimele să le descarce.

„Aoqin Dragon caută accesul inițial în primul rând prin exploatările de documente și prin utilizarea de dispozitive amovibile false”, au scris cercetătorii.

Tacticile furtive în evoluție ale dragonului Aoqin

O parte din ceea ce l-a ajutat pe Aoqin Dragon să rămână sub radar atât de mult timp este faptul că au evoluat. De exemplu, mijloacele folosite de APT pentru a infecta computerele țintă au evoluat.

În primii câțiva ani de funcționare, Aoqin Dragon s-a bazat pe exploatarea vechilor vulnerabilități – în special, CVE-2012-0158 și CVE-2010-3333 – pe care ținta lor ar putea să nu le fi corectat încă.

Mai târziu, Aoqin Dragon a creat fișiere executabile cu pictograme de pe desktop care le-au făcut să pară ca foldere Windows sau software antivirus. Aceste programe erau de fapt dropper-uri rău intenționate care au plantat uși din spate și apoi au stabilit conexiuni înapoi la serverele de comandă și control (C2) ale atacatorilor.

Din 2018, grupul folosește un dispozitiv detașabil fals ca vector de infecție. Când un utilizator dă clic pentru a deschide ceea ce pare a fi un folder de dispozitiv amovibil, acesta inițiază de fapt o reacție în lanț care descarcă o ușă din spate și o conexiune C2 la mașina sa. Nu numai că, malware-ul se copiază pe orice dispozitiv amovibil real conectat la mașina gazdă, pentru a-și continua răspândirea dincolo de gazdă și, sperăm, în rețeaua mai largă a țintei.

Grupul a folosit alte tehnici pentru a rămâne departe de radar. Au folosit tunelul DNS – manipulând sistemul de nume de domeniu al internetului pentru a strecura datele dincolo de firewall-uri. O pârghie din spate – cunoscută sub numele de Mongall – criptează datele de comunicare între gazdă și serverul C2. De-a lungul timpului, au spus cercetătorii, APT a început să lucreze încet tehnica discului amovibil fals. Acest lucru a fost făcut pentru a „pgrade malware-ul pentru a-l proteja de detectarea și eliminarea de către produsele de securitate”.

Legături Națiune-Stat

Țintele au avut tendința să scadă în doar câteva găleți – guvern, educație și telecomunicații, toate în Asia de Sud-Est și în jurul lor. Cercetătorii susțin că „țintirea Dragonului Aoqin se aliniază îndeaproape cu interesele politice ale guvernului chinez”.

Alte dovezi ale influenței Chinei includ un jurnal de depanare găsit de cercetători care conține caractere chinezești simplificate.

Cel mai important dintre toate, cercetătorii au evidențiat un atac suprapus asupra președintelui site-ului web al Myanmarului încă din 2014. În acest caz, poliția a urmărit serverele de comandă și control și e-mail ale hackerilor până la Beijing. Cele două uși din spate principale ale lui Aoqin Dragon „au infrastructură C2 care se suprapune”, cu acel caz, „și majoritatea serverelor C2 pot fi atribuite utilizatorilor vorbitori de chineză”.

Totuși, „identificarea și urmărirea corectă a actorilor de amenințări sponsorizați de stat și de stat poate fi o provocare”, a scris Mike Parkin, inginer tehnic senior la Vulcan Cyber, într-o declarație. „SentinelOne lansând informații despre un grup APT care aparent a fost activ de aproape un deceniu și nu apare în alte liste, arată cât de greu poate fi „să fii sigur” atunci când identifici un nou actor de amenințare. ”