شواهد نشان می دهد که یک APT تازه کشف شده از سال 2013 فعال بوده است.
محققان یک APT کوچک و در عین حال قوی مرتبط با چین را شناسایی کردهاند که نزدیک به یک دهه است که علیه سازمانهای دولتی، آموزشی و مخابراتی در آسیای جنوب شرقی و استرالیا تحت رادار پرواز کرده است.
محققان از SentinelLabs گفت APT، که آن ها اژدهای Aoqin نامیده می شود، حداقل از سال 2013 فعالیت می کند. آنها گزارش دادند که APT "یک تیم کوچک چینی زبان با ارتباط احتمالی با [APT به نام] UNC94 است."
محققان می گویند یکی از تاکتیک ها و تکنیک های Aoqin Dragon استفاده از اسناد مخرب با مضمون پورنوگرافی به عنوان طعمه برای ترغیب قربانیان برای دانلود آنها است.
محققان نوشتند: "Aoqin Dragon به دنبال دسترسی اولیه در درجه اول از طریق سوء استفاده از اسناد و استفاده از دستگاه های قابل جابجایی جعلی است."
تاکتیک های مخفی کاری در حال تکامل Aoqin Dragon
بخشی از چیزی که به Aoqin Dragon کمک کرده تا برای مدت طولانی زیر رادار بماند، این است که آنها تکامل یافته اند. برای مثال، ابزاری که APT برای آلوده کردن رایانههای هدف استفاده میکرد، تکامل یافته است.
در چند سال اول فعالیت خود، Aoqin Dragon بر بهره برداری از آسیب پذیری های قدیمی - به ویژه CVE-2012-0158 و CVE-2010-3333 - تکیه کرد که ممکن است اهداف آنها هنوز اصلاح نکرده باشند.
بعدها، Aoqin Dragon فایلهای اجرایی را با آیکونهای دسکتاپ ایجاد کرد که ظاهر آنها را شبیه پوشههای ویندوز یا نرمافزار آنتیویروس نشان میداد. این برنامه ها در واقع قطره چکان های مخربی بودند که درهای پشتی را نصب می کردند و سپس به سرورهای فرمان و کنترل مهاجمان (C2) ارتباط برقرار می کردند.
از سال 2018، این گروه از یک دستگاه جعلی قابل جابجایی به عنوان ناقل عفونت خود استفاده کرده است. هنگامی که کاربر برای باز کردن پوشه دستگاه قابل جابجایی کلیک می کند، در واقع یک واکنش زنجیره ای را آغاز می کند که یک درب پشتی و اتصال C2 را به دستگاه خود دانلود می کند. نه تنها این، بدافزار خود را به هر دستگاه قابل جابجایی واقعی متصل به دستگاه میزبان کپی می کند تا به گسترش خود در خارج از میزبان و، امیدواریم، در شبکه گسترده تر هدف ادامه دهد.
این گروه از تکنیک های دیگری برای دور ماندن از رادار استفاده کرده است. آنها از تونلسازی DNS استفاده کردهاند – سیستم نام دامنه اینترنت را دستکاری میکنند تا دادهها را از فایروالها پنهان کنند. یک اهرم درب پشتی - معروف به Mongall - داده های ارتباطی بین میزبان و سرور C2 را رمزگذاری می کند. به گفته محققان، با گذشت زمان، APT به آرامی شروع به کار با تکنیک دیسک قابل جابجایی جعلی کرد. این کار به منظور ارتقای بدافزار برای محافظت از آن در برابر شناسایی و حذف توسط محصولات امنیتی انجام شد.
پیوندهای دولت - ملت
اهداف فقط در چند سطل سقوط می کنند - دولت، آموزش و ارتباطات، همه در داخل و اطراف آسیای جنوب شرقی. محققان ادعا می کنند "هدف قرار دادن اژدهای Aoqin با منافع سیاسی دولت چین همسو است."
شواهد بیشتر از نفوذ چین شامل یک گزارش اشکال زدایی است که توسط محققان یافت شده است که حاوی نویسه های چینی ساده شده است.
مهمتر از همه، محققان یک حمله همپوشانی به وب سایت رئیس جمهور میانمار را در سال 2014 برجسته کردند. در آن مورد، پلیس سرورهای فرمان و کنترل و ایمیل هکرها را به پکن ردیابی کرد. دو درب پشتی اصلی Aoqin Dragon "دارای زیرساخت C2 همپوشانی هستند" با این مورد، "و بیشتر سرورهای C2 را می توان به کاربران چینی زبان نسبت داد."
مایک پارکین، مهندس فنی ارشد در Vulcan Cyber، در بیانیهای نوشت: با این حال، "شناسایی و ردیابی درست عوامل تهدید کننده دولتی و دولتی میتواند چالش برانگیز باشد." SentinelOne که اکنون اطلاعات مربوط به یک گروه APT را منتشر میکند که ظاهراً تقریباً یک دهه است که فعال بوده و در لیستهای دیگر ظاهر نمیشود، نشان میدهد که «مطمئن شدن» در هنگام شناسایی یک عامل تهدید جدید چقدر سخت است. ”