APT مرتبط با چین برای یک دهه زیر رادار پرواز کرد

محققان یک APT کوچک و در عین حال قوی مرتبط با چین را شناسایی کرده‌اند که نزدیک به یک دهه است که علیه سازمان‌های دولتی، آموزشی و مخابراتی در آسیای جنوب شرقی و استرالیا تحت رادار پرواز کرده است.

محققان از SentinelLabs گفت APT، که آن ها اژدهای Aoqin نامیده می شود، حداقل از سال 2013 فعالیت می کند. آنها گزارش دادند که APT "یک تیم کوچک چینی زبان با ارتباط احتمالی با [APT به نام] UNC94 است."

محققان می گویند یکی از تاکتیک ها و تکنیک های Aoqin Dragon استفاده از اسناد مخرب با مضمون پورنوگرافی به عنوان طعمه برای ترغیب قربانیان برای دانلود آنها است.

محققان نوشتند: "Aoqin Dragon به دنبال دسترسی اولیه در درجه اول از طریق سوء استفاده از اسناد و استفاده از دستگاه های قابل جابجایی جعلی است."

تاکتیک های مخفی کاری در حال تکامل Aoqin Dragon

بخشی از چیزی که به Aoqin Dragon کمک کرده تا برای مدت طولانی زیر رادار بماند، این است که آنها تکامل یافته اند. برای مثال، ابزاری که APT برای آلوده کردن رایانه‌های هدف استفاده می‌کرد، تکامل یافته است.

در چند سال اول فعالیت خود، Aoqin Dragon بر بهره برداری از آسیب پذیری های قدیمی - به ویژه CVE-2012-0158 و CVE-2010-3333 - تکیه کرد که ممکن است اهداف آنها هنوز اصلاح نکرده باشند.

بعدها، Aoqin Dragon فایل‌های اجرایی را با آیکون‌های دسکتاپ ایجاد کرد که ظاهر آن‌ها را شبیه پوشه‌های ویندوز یا نرم‌افزار آنتی‌ویروس نشان می‌داد. این برنامه ها در واقع قطره چکان های مخربی بودند که درهای پشتی را نصب می کردند و سپس به سرورهای فرمان و کنترل مهاجمان (C2) ارتباط برقرار می کردند.

از سال 2018، این گروه از یک دستگاه جعلی قابل جابجایی به عنوان ناقل عفونت خود استفاده کرده است. هنگامی که کاربر برای باز کردن پوشه دستگاه قابل جابجایی کلیک می کند، در واقع یک واکنش زنجیره ای را آغاز می کند که یک درب پشتی و اتصال C2 را به دستگاه خود دانلود می کند. نه تنها این، بدافزار خود را به هر دستگاه قابل جابجایی واقعی متصل به دستگاه میزبان کپی می کند تا به گسترش خود در خارج از میزبان و، امیدواریم، در شبکه گسترده تر هدف ادامه دهد.

این گروه از تکنیک های دیگری برای دور ماندن از رادار استفاده کرده است. آن‌ها از تونل‌سازی DNS استفاده کرده‌اند – سیستم نام دامنه اینترنت را دستکاری می‌کنند تا داده‌ها را از فایروال‌ها پنهان کنند. یک اهرم درب پشتی - معروف به Mongall - داده های ارتباطی بین میزبان و سرور C2 را رمزگذاری می کند. به گفته محققان، با گذشت زمان، APT به آرامی شروع به کار با تکنیک دیسک قابل جابجایی جعلی کرد. این کار به منظور ارتقای بدافزار برای محافظت از آن در برابر شناسایی و حذف توسط محصولات امنیتی انجام شد.

پیوندهای دولت - ملت

اهداف فقط در چند سطل سقوط می کنند - دولت، آموزش و ارتباطات، همه در داخل و اطراف آسیای جنوب شرقی. محققان ادعا می کنند "هدف قرار دادن اژدهای Aoqin با منافع سیاسی دولت چین همسو است."

شواهد بیشتر از نفوذ چین شامل یک گزارش اشکال زدایی است که توسط محققان یافت شده است که حاوی نویسه های چینی ساده شده است.

مهمتر از همه، محققان یک حمله همپوشانی به وب سایت رئیس جمهور میانمار را در سال 2014 برجسته کردند. در آن مورد، پلیس سرورهای فرمان و کنترل و ایمیل هکرها را به پکن ردیابی کرد. دو درب پشتی اصلی Aoqin Dragon "دارای زیرساخت C2 همپوشانی هستند" با این مورد، "و بیشتر سرورهای C2 را می توان به کاربران چینی زبان نسبت داد."

مایک پارکین، مهندس فنی ارشد در Vulcan Cyber، در بیانیه‌ای نوشت: با این حال، "شناسایی و ردیابی درست عوامل تهدید کننده دولتی و دولتی می‌تواند چالش برانگیز باشد." SentinelOne که اکنون اطلاعات مربوط به یک گروه APT را منتشر می‌کند که ظاهراً تقریباً یک دهه است که فعال بوده و در لیست‌های دیگر ظاهر نمی‌شود، نشان می‌دهد که «مطمئن شدن» در هنگام شناسایی یک عامل تهدید جدید چقدر سخت است. ”