APT lié à la Chine a volé sous le radar pendant une décennie

Les chercheurs ont identifié une petite mais puissante APT liée à la Chine qui a volé sous le radar pendant près d'une décennie en menant des campagnes contre le gouvernement, les organisations d'éducation et de télécommunication en Asie du Sud-Est et en Australie.

Les chercheurs de SentinelLabs a dit l'APT, qu'ils ont surnommé Aoqin Dragon, fonctionne depuis au moins 2013. L'APT est "une petite équipe de langue chinoise avec une association potentielle avec [un APT appelé] UNC94", ont-ils rapporté.

Les chercheurs disent que l'une des tactiques et techniques d'Aoqin Dragon consiste à utiliser des documents malveillants à thème pornographique comme appât pour inciter les victimes à les télécharger.

"Aoqin Dragon cherche un accès initial principalement par le biais d'exploits de documents et de l'utilisation de faux périphériques amovibles", ont écrit les chercheurs.

Tactiques furtives évolutives du dragon Aoqin

Une partie de ce qui a aidé Aoqin Dragon à rester sous le radar pendant si longtemps, c'est qu'ils ont évolué. Par exemple, les moyens utilisés par APT pour infecter les ordinateurs cibles ont évolué.

Au cours de ses premières années de fonctionnement, Aoqin Dragon s'est appuyé sur l'exploitation d'anciennes vulnérabilités - en particulier, CVE-2012-0158 et CVE-2010-3333 - que leurs cibles n'avaient peut-être pas encore corrigées.

Plus tard, Aoqin Dragon a créé des fichiers exécutables avec des icônes de bureau qui les faisaient ressembler à des dossiers Windows ou à un logiciel antivirus. Ces programmes étaient en fait des droppers malveillants qui installaient des portes dérobées, puis établissaient des connexions avec les serveurs de commande et de contrôle (C2) des attaquants.

Depuis 2018, le groupe utilise un faux appareil amovible comme vecteur d'infection. Lorsqu'un utilisateur clique pour ouvrir ce qui semble être un dossier de périphérique amovible, il déclenche en fait une réaction en chaîne qui télécharge une porte dérobée et une connexion C2 sur sa machine. De plus, le logiciel malveillant se copie sur tous les périphériques amovibles réels connectés à la machine hôte, afin de poursuivre sa propagation au-delà de l'hôte et, espérons-le, dans le réseau plus large de la cible.

Le groupe a utilisé d'autres techniques pour rester hors du radar. Ils ont utilisé le tunneling DNS - manipulant le système de noms de domaine d'Internet pour faire passer les données par les pare-feu. Un levier de porte dérobée - connu sous le nom de Mongall - crypte les données de communication entre l'hôte et le serveur C2. Au fil du temps, ont déclaré les chercheurs, l'APT a commencé à travailler lentement la technique du faux disque amovible. Cela a été fait pour "prograder le logiciel malveillant afin de le protéger contre la détection et la suppression par les produits de sécurité".

Liens entre États-nations

Les cibles ont eu tendance à tomber dans quelques seaux – gouvernement, éducation et télécommunications, tous en Asie du Sud-Est et autour. Les chercheurs affirment que "le ciblage d'Aoqin Dragon s'aligne étroitement sur les intérêts politiques du gouvernement chinois".

Une autre preuve de l'influence de la Chine comprend un journal de débogage trouvé par des chercheurs qui contient des caractères chinois simplifiés.

Plus important encore, les chercheurs ont mis en évidence une attaque qui se chevauchait contre le site Web du président du Myanmar en 2014. Dans cette affaire, la police a retracé les serveurs de commande et de contrôle et de messagerie des pirates jusqu'à Pékin. Les deux principales portes dérobées d'Aoqin Dragon "ont une infrastructure C2 qui se chevauche", dans ce cas, "et la plupart des serveurs C2 peuvent être attribués à des utilisateurs de langue chinoise".

Pourtant, "l'identification et le suivi corrects des acteurs de la menace par l'État et parrainés par l'État peuvent être difficiles", a écrit Mike Parkin, ingénieur technique senior chez Vulcan Cyber, dans un communiqué. "SentinelOne publie maintenant des informations sur un groupe APT qui est apparemment actif depuis près d'une décennie et qui n'apparaît pas dans d'autres listes, montre à quel point il peut être difficile d'être sûr lorsque vous identifiez un nouvel acteur menaçant. ”