Das mit China verbundene APT flog jahrzehntelang unter dem Radar

Forscher haben eine kleine, aber mächtige mit China verbundene APT identifiziert, die seit fast einem Jahrzehnt unter dem Radar geflogen ist und Kampagnen gegen Regierungs-, Bildungs- und Telekommunikationsorganisationen in Südostasien und Australien durchgeführt hat.

Forscher von SentinelLabs sagte das APT, das sie Aoqin Dragon nannten, ist seit mindestens 2013 in Betrieb. Das APT ist „ein kleines chinesischsprachiges Team mit potenzieller Verbindung zu [einem APT namens] UNC94“, berichteten sie.

Forscher sagen, dass eine der Taktiken und Techniken von Aoqin Dragon darin besteht, bösartige Dokumente mit pornografischem Thema als Köder zu verwenden, um Opfer dazu zu verleiten, sie herunterzuladen.

„Aoqin Dragon sucht den ersten Zugang hauptsächlich durch Dokumenten-Exploits und die Verwendung gefälschter Wechseldatenträger“, schrieben die Forscher.

Aoqin Dragons sich entwickelnde Stealth-Taktiken

Ein Teil dessen, was Aoqin Dragon geholfen hat, so lange unter dem Radar zu bleiben, ist, dass sie sich weiterentwickelt haben. Beispielsweise haben sich die Mittel, die APT verwendet, um Zielcomputer zu infizieren, weiterentwickelt.

In den ersten Betriebsjahren verließ sich Aoqin Dragon darauf, alte Schwachstellen auszunutzen – insbesondere CVE-2012-0158 und CVE-2010-3333 – die ihre Ziele möglicherweise noch nicht gepatcht haben.

Später erstellte Aoqin Dragon ausführbare Dateien mit Desktopsymbolen, die sie wie Windows-Ordner oder Antivirensoftware aussehen ließen. Diese Programme waren eigentlich bösartige Dropper, die Hintertüren einschlugen und dann Verbindungen zurück zu den Command-and-Control-Servern (C2) der Angreifer herstellten.

Seit 2018 nutzt die Gruppe einen gefälschten Wechseldatenträger als Infektionsvektor. Wenn ein Benutzer klickt, um einen scheinbar entfernbaren Geräteordner zu öffnen, löst er tatsächlich eine Kettenreaktion aus, die eine Hintertür und eine C2-Verbindung auf seinen Computer herunterlädt. Darüber hinaus kopiert sich die Malware auf alle tatsächlich mit dem Host-Computer verbundenen Wechseldatenträger, um sich über den Host hinaus und hoffentlich in das breitere Netzwerk des Ziels zu verbreiten.

Die Gruppe hat andere Techniken eingesetzt, um nicht auf dem Radar zu bleiben. Sie haben DNS-Tunneling verwendet – das Domain-Name-System des Internets manipuliert, um Daten durch Firewalls zu schleichen. Ein Backdoor-Hebel – bekannt als Mongall – verschlüsselt Kommunikationsdaten zwischen Host und C2-Server. Im Laufe der Zeit, sagten die Forscher, begann die APT langsam, die Technik der gefälschten Wechseldatenträger zu arbeiten. Dies geschah, um „die Malware zu pgradieren, um sie davor zu schützen, von Sicherheitsprodukten erkannt und entfernt zu werden“.

Nationalstaatliche Verbindungen

Die Ziele sind in der Regel in nur wenige Eimer gefallen – Regierung, Bildung und Telekommunikation, alle in und um Südostasien. Forscher behaupten, dass „das Targeting von Aoqin Dragon eng mit den politischen Interessen der chinesischen Regierung übereinstimmt“.

Ein weiterer Beweis für den Einfluss Chinas ist ein von Forschern gefundenes Debug-Protokoll, das vereinfachte chinesische Schriftzeichen enthält.

Am wichtigsten ist, dass die Forscher einen sich überschneidenden Angriff auf die Website des Präsidenten von Myanmar im Jahr 2014 herausstellten. In diesem Fall verfolgte die Polizei die Command-and-Control- und Mail-Server der Hacker nach Peking. Die beiden primären Hintertüren von Aoqin Dragon „haben eine sich überschneidende C2-Infrastruktur“, in diesem Fall „und die meisten C2-Server können chinesischsprachigen Benutzern zugeordnet werden.“

Dennoch „kann es schwierig sein, staatlich und staatlich geförderte Bedrohungsakteure richtig zu identifizieren und zu verfolgen“, schrieb Mike Parkin, leitender technischer Ingenieur bei Vulcan Cyber, in einer Erklärung. „Dass SentinelOne jetzt die Informationen über eine APT-Gruppe veröffentlicht, die offenbar seit fast einem Jahrzehnt aktiv ist und nicht in anderen Listen auftaucht, zeigt, wie schwierig es sein kann, ‚sicher zu sein', wenn man einen neuen Bedrohungsakteur identifiziert. ”