A bizonyítékok arra utalnak, hogy egy most felfedezett APT 2013 óta működik.
A kutatók egy kicsi, de erős, Kínához köthető APT-t azonosítottak, amely közel egy évtizede a radar alatt van, és Délkelet-Ázsiában és Ausztráliában kormányzati, oktatási és távközlési szervezetek ellen kampányol.
Kutatók mondta a SentinelLabs az APT, amelyet Aoqin Dragonnak neveztek el, legalább 2013 óta működik. Az APT „egy kis kínaiul beszélő csapat, amely potenciálisan társulhat [egy UNC94 nevű APT-hez” – számoltak be.
A kutatók szerint az Aoqin Dragon egyik taktikája és technikája magában foglalja a pornográf témájú rosszindulatú dokumentumok csaliként való felhasználását, hogy az áldozatokat letöltsék.
„Az Aoqin Dragon elsősorban a dokumentumok kihasználásával és hamis eltávolítható eszközök használatával keresi a kezdeti hozzáférést” – írták a kutatók.
Aoqin Dragon fejlődő lopakodó taktikái
Részben, ami segített az Aoqin Dragonnak ilyen sokáig a radar alatt maradni, az az, hogy fejlődtek. Például a célszámítógépek megfertőzésére használt APT eszközei fejlődtek.
Működésük első néhány évében az Aoqin Dragon régi sérülékenységek – konkrétan a CVE-2012-0158 és CVE-2010-3333 – kihasználására támaszkodott, amelyeket célpontjaik talán még nem javítottak ki.
Később az Aoqin Dragon végrehajtható fájlokat hozott létre asztali ikonokkal, amelyek úgy néznek ki, mint Windows mappák vagy víruskereső szoftverek. Ezek a programok valójában rosszindulatú eldobók voltak, amelyek hátsó ajtókat telepítettek, majd kapcsolatokat létesítettek vissza a támadók parancs- és vezérlőkiszolgálóihoz (C2).
A csoport 2018 óta hamis eltávolítható eszközt használ fertőzési vektorként. Amikor a felhasználó rákattint egy eltávolítható eszközmappa megnyitásához, valójában láncreakciót indít el, amely egy hátsó ajtót és egy C2-kapcsolatot tölt le a gépére. A rosszindulatú program nem csak a gazdagéphez csatlakoztatott tényleges cserélhető eszközökre másolja magát, hogy továbbterjedjen a gazdagépen kívül, és remélhetőleg a cél tágabb hálózatába is.
A csoport más technikákat is alkalmazott, hogy távol maradjon a radartól. DNS-alagútkezelést alkalmaztak – manipulálták az internet domain névrendszerét, hogy átvigyék az adatokat a tűzfalakon. Az egyik hátsó ajtó – Mongall néven ismert – titkosítja a kommunikációs adatokat a gazdagép és a C2 szerver között. A kutatók elmondása szerint idővel az APT lassan elkezdett dolgozni a hamis eltávolítható lemezes technikán. Ennek célja a rosszindulatú program frissítése, hogy megóvja azt a biztonsági termékek észlelésétől és eltávolításától.
Nemzetállami kapcsolatok
A célok általában csak néhány sávban estek – a kormányzat, az oktatás és a távközlés területén, Délkelet-Ázsiában és környékén. A kutatók azt állítják, hogy „az Aoqin Dragon célba vétele szorosan összhangban van a kínai kormány politikai érdekeivel”.
Kína befolyásának további bizonyítéka a kutatók által talált hibakeresési napló, amely egyszerűsített kínai karaktereket tartalmaz.
A legfontosabb az egészben, hogy a kutatók egy átfedő támadást emeltek ki a mianmari elnököt ellen 2014-ben. Ebben az esetben a rendőrség Pekingig vezette a hackerek vezérlő- és levelezőszervereit. Az Aoqin Dragon két elsődleges hátsó ajtaja „átfedő C2 infrastruktúrával rendelkezik”, és a legtöbb C2 szerver kínaiul beszélő felhasználóknak tulajdonítható.
Mike Parkin, a Vulcan Cyber vezető műszaki mérnöke szerint „az állam és az állam által szponzorált fenyegetés szereplőinek megfelelő azonosítása és nyomon követése kihívást jelenthet”. „A SentinelOne most közzéteszi az információkat egy APT-csoportról, amely látszólag csaknem egy évtizede aktív, és nem szerepel más listákon, megmutatja, milyen nehéz lehet „bizonyosodni”, amikor új fenyegetést okozó szereplőt azonosítunk. ”
