تشير الدلائل إلى أن APT الذي تم اكتشافه للتو نشط منذ عام 2013.
حدد الباحثون جهازًا صغيرًا لكنه قويًا ومتصلًا بالصين ، وقد طار تحت الرادار منذ ما يقرب من عقد من الزمان لإدارة حملات ضد الحكومة والتعليم ومؤسسات الاتصالات السلكية واللاسلكية في جنوب شرق آسيا وأستراليا.
الباحثين من SentinelLabs قال تعمل APT ، التي أطلقوا عليها اسم Aoqin Dragon ، منذ عام 2013 على الأقل. وأفادوا أن APT "فريق صغير يتحدث اللغة الصينية مع ارتباط محتمل بـ [APT يسمى] UNC94".
يقول الباحثون إن إحدى تكتيكات وتقنيات Aoqin Dragon تشمل استخدام وثائق ضارة إباحية كطعم لإغراء الضحايا لتنزيلها.
كتب الباحثون: "يسعى Aoqin Dragon للوصول الأولي بشكل أساسي من خلال عمليات استغلال المستندات واستخدام الأجهزة القابلة للإزالة المزيفة".
تكتيكات التخفي المتطورة لـ Aoqin Dragon
جزء مما ساعد Aoqin Dragon على البقاء تحت الرادار لفترة طويلة هو أنها تطورت. على سبيل المثال ، تطورت وسائل APT المستخدمة لإصابة أجهزة الكمبيوتر المستهدفة.
في السنوات القليلة الأولى من التشغيل ، اعتمد Aoqin Dragon على استغلال نقاط الضعف القديمة - على وجه التحديد ، CVE-2012-0158 و CVE-2010-3333 - والتي ربما لم يتم تصحيحها بعد.
في وقت لاحق ، أنشأ Aoqin Dragon ملفات قابلة للتنفيذ برموز سطح المكتب التي جعلتها تبدو وكأنها مجلدات Windows أو برنامج مكافحة فيروسات. كانت هذه البرامج في الواقع عبارة عن قطارات ضارة قامت بزرع أبواب خلفية ثم أقامت اتصالات مرة أخرى بخوادم القيادة والسيطرة (C2) للمهاجمين.
منذ عام 2018 ، تستخدم المجموعة جهازًا مزيفًا قابل للإزالة كناقل للعدوى. عندما ينقر المستخدم لفتح ما يبدو أنه مجلد جهاز قابل للإزالة ، فإنهم في الواقع يبدأون في تفاعل متسلسل يقوم بتنزيل باب خلفي واتصال C2 بجهازهم. ليس ذلك فحسب ، فإن البرامج الضارة تنسخ نفسها إلى أي أجهزة فعلية قابلة للإزالة متصلة بالجهاز المضيف ، من أجل مواصلة انتشارها خارج المضيف ، ونأمل أن تصل إلى شبكة الهدف الأوسع.
استخدمت المجموعة تقنيات أخرى للبقاء بعيدًا عن الرادار. لقد استخدموا نفق DNS - التلاعب بنظام اسم المجال على الإنترنت لتسلل البيانات عبر جدران الحماية. تعمل رافعة الباب الخلفي - المعروفة باسم Mongall - على تشفير بيانات الاتصال بين المضيف وخادم C2. قال الباحثون إنه بمرور الوقت ، بدأت APT في العمل ببطء على تقنية القرص القابل للإزالة المزيف. تم إجراء ذلك من أجل "تصنيف البرامج الضارة لحمايتها من اكتشافها وإزالتها بواسطة منتجات الأمان".
روابط الدولة القومية
تميل الأهداف إلى الوقوع في مجموعات قليلة - الحكومة والتعليم والاتصالات ، كل ذلك في جنوب شرق آسيا وحولها. يؤكد الباحثون أن "استهداف Aoqin Dragon يتوافق بشكل وثيق مع المصالح السياسية للحكومة الصينية."
يتضمن الدليل الإضافي على تأثير الصين سجل تصحيح الأخطاء الذي وجده الباحثون والذي يحتوي على أحرف صينية مبسطة.
والأهم من ذلك كله ، أن الباحثين سلطوا الضوء على هجوم متداخل على موقع رئيس ميانمار على الإنترنت في عام 2014. في هذه الحالة ، تتبعت الشرطة خوادم القيادة والسيطرة والبريد الخاصة بالمتسللين إلى بكين. يحتوي البابان الخلفيان الأساسيان لـ Aoqin Dragon على بنية تحتية متداخلة لـ C2 ، مع هذه الحالة ، "ويمكن أن تُنسب معظم خوادم C2 إلى المستخدمين الناطقين باللغة الصينية."
ومع ذلك ، كتب مايك باركين ، كبير المهندسين التقنيين في شركة فولكان سايبر ، في بيان: "لا يزال تحديد الجهات الفاعلة في التهديد برعاية الدولة وتتبعها بشكل صحيح أمرًا صعبًا". "إصدار SentinelOne للمعلومات الآن عن مجموعة APT التي كانت نشطة على ما يبدو لما يقرب من عقد من الزمان ، ولا تظهر في قوائم أخرى ، يُظهر مدى صعوبة" التأكد "عند تحديد لاعب تهديد جديد. "
