Kina-forbundet APT fløj under radar i årti

Forskere har identificeret en lille, men alligevel potent Kina-forbundet APT, der har fløjet under radaren i næsten et årti og kørt kampagner mod regerings-, uddannelses- og telekommunikationsorganisationer i Sydøstasien og Australien.

Forskere fra SentinelLabs sagde APT, som de døbte Aoqin Dragon, har været i drift siden mindst 2013. APT er "et lille kinesisk-talende hold med potentiel tilknytning til [en APT kaldet] UNC94," rapporterede de.

Forskere siger, at en af ​​Aoqin Dragons taktikker og teknikker inkluderer at bruge ondsindede dokumenter med pornografisk tema som lokkemad for at lokke ofrene til at downloade dem.

"Aoqin Dragon søger indledende adgang primært gennem dokumentudnyttelse og brug af falske flytbare enheder," skrev forskere.

Aoqin Dragons udviklende stealth-taktik

En del af det, der har hjulpet Aoqin Dragon med at holde sig under radaren så længe, ​​er, at de har udviklet sig. For eksempel har de midler, som APT brugte til at inficere målcomputere, udviklet sig.

I deres første par år af drift, stolede Aoqin Dragon på at udnytte gamle sårbarheder – specifikt CVE-2012-0158 og CVE-2010-3333 – som deres mål måske endnu ikke har rettet.

Senere oprettede Aoqin Dragon eksekverbare filer med skrivebordsikoner, der fik dem til at ligne Windows-mapper eller antivirussoftware. Disse programmer var faktisk ondsindede droppere, som plantede bagdøre og derefter etablerede forbindelser tilbage til angribernes kommando-og-kontrol-servere (C2).

Siden 2018 har gruppen brugt en falsk aftagelig enhed som deres infektionsvektor. Når en bruger klikker for at åbne, hvad der ser ud til at være en flytbar enhedsmappe, starter de faktisk en kædereaktion, som downloader en bagdør og C2-forbindelse til deres maskine. Ikke nok med det, malwaren kopierer sig selv til alle faktiske flytbare enheder, der er tilsluttet værtsmaskinen, for at fortsætte dens spredning ud over værten og forhåbentlig ind i målets bredere netværk.

Gruppen har brugt andre teknikker for at holde sig væk fra radaren. De har brugt DNS-tunneling – manipuleret med internettets domænenavnesystem til at snige data forbi firewalls. En bagdørs løftestang – kendt som Mongall – krypterer kommunikationsdata mellem vært og C2-server. Over tid, sagde forskerne, begyndte APT langsomt at arbejde med den falske aftagelige disk-teknik. Dette blev gjort for at "opgradere malwaren for at beskytte den mod at blive opdaget og fjernet af sikkerhedsprodukter."

Nationalstatslinks

Mål har haft en tendens til at falde på få spande – regering, uddannelse og telekommunikation, alt i og omkring Sydøstasien. Forskere hævder, at "målretningen af ​​Aoqin Dragon er tæt på linje med den kinesiske regerings politiske interesser."

Yderligere bevis på Kinas indflydelse inkluderer en fejlretningslog fundet af forskere, der indeholder forenklede kinesiske tegn.

Vigtigst af alt fremhævede forskerne et overlappende angreb på præsidenten for Myanmars hjemmeside tilbage i 2014. I det tilfælde sporede politiet hackernes kommando-og-kontrol- og mailservere til Beijing. Aoqin Dragons to primære bagdøre "har overlappende C2-infrastruktur," med det tilfælde, "og de fleste af C2-serverne kan tilskrives kinesisk-talende brugere."

Alligevel kan "korrekt identificering og sporing af stats- og statssponsorerede trusselsaktører være udfordrende," skrev Mike Parkin, senior teknisk ingeniør hos Vulcan Cyber, i en erklæring. "SentinelOne frigiver oplysningerne nu om en APT-gruppe, der tilsyneladende har været aktiv i næsten et årti, og som ikke vises på andre lister, viser, hvor svært det kan være 'at være sikker', når du identificerer en ny trusselsaktør. ”