APT yang terkait dengan China Terbang di Bawah Radar selama Dekade

Para peneliti telah mengidentifikasi APT kecil namun kuat yang terkait dengan China yang telah terbang di bawah radar selama hampir satu dekade menjalankan kampanye melawan pemerintah, organisasi pendidikan dan telekomunikasi di Asia Tenggara dan Australia.

Peneliti dari SentinelLabs berkata APT, yang mereka juluki Aoqin Dragon, telah beroperasi setidaknya sejak 2013. APT adalah “tim kecil berbahasa Mandarin dengan asosiasi potensial untuk [sebuah APT yang disebut] UNC94,” mereka melaporkan.

Para peneliti mengatakan salah satu taktik dan teknik Aoqin Dragon termasuk menggunakan dokumen berbahaya bertema pornografi sebagai umpan untuk menarik korban agar mengunduhnya.

“Aoqin Dragon mencari akses awal terutama melalui eksploitasi dokumen dan penggunaan perangkat palsu yang dapat dilepas,” tulis para peneliti.

Taktik Siluman Evolusi Naga Aoqin

Bagian dari apa yang membantu Aoqin Dragon tetap berada di bawah radar begitu lama adalah karena mereka telah berevolusi. Misalnya, cara APT yang digunakan untuk menginfeksi komputer target telah berkembang.

Dalam beberapa tahun pertama operasinya, Aoqin Dragon mengandalkan eksploitasi kerentanan lama – khususnya, CVE-2012-0158 dan CVE-2010-3333 – yang targetnya mungkin belum ditambal.

Kemudian, Aoqin Dragon membuat file yang dapat dieksekusi dengan ikon desktop yang membuatnya tampak seperti folder Windows atau perangkat lunak antivirus. Program-program ini sebenarnya adalah penetes berbahaya yang menanam pintu belakang dan kemudian membuat koneksi kembali ke server command-and-control (C2) penyerang.

Sejak 2018, kelompok tersebut telah menggunakan perangkat palsu palsu sebagai vektor infeksi mereka. Ketika pengguna mengklik untuk membuka apa yang tampaknya menjadi folder perangkat yang dapat dilepas, mereka sebenarnya memulai reaksi berantai yang mengunduh koneksi pintu belakang dan C2 ke mesin mereka. Tidak hanya itu, malware menyalin dirinya sendiri ke perangkat yang dapat dilepas yang terhubung ke mesin host, untuk melanjutkan penyebarannya di luar host dan, mudah-mudahan, ke jaringan target yang lebih luas.

Kelompok ini telah menggunakan teknik lain untuk tetap berada di luar radar. Mereka telah menggunakan tunneling DNS – memanipulasi sistem nama domain internet untuk menyelinap data melewati firewall. Satu leverage pintu belakang – dikenal sebagai Mongall – mengenkripsi data komunikasi antara host dan server C2. Seiring waktu, kata para peneliti, APT mulai perlahan-lahan mengerjakan teknik removable disc palsu. Ini dilakukan untuk "memperbaiki malware untuk melindunginya agar tidak terdeteksi dan dihapus oleh produk keamanan."

Link Negara-Bangsa

Target cenderung jatuh hanya dalam beberapa ember – pemerintah, pendidikan dan telekomunikasi, semua di dalam dan sekitar Asia Tenggara. Para peneliti menegaskan “penargetan Naga Aoqin sangat selaras dengan kepentingan politik pemerintah Tiongkok.”

Bukti lebih lanjut dari pengaruh Cina termasuk log debug yang ditemukan oleh para peneliti yang berisi karakter Cina yang disederhanakan.

Yang paling penting, para peneliti menyoroti serangan yang tumpang tindih di situs web presiden Myanmar pada tahun 2014. Dalam kasus itu, polisi melacak server komando dan kontrol peretas dan server surat ke Beijing. Dua pintu belakang utama Aoqin Dragon “memiliki infrastruktur C2 yang tumpang tindih,” dengan kasus itu, “dan sebagian besar server C2 dapat dikaitkan dengan pengguna yang berbahasa Mandarin.”

Namun, “mengidentifikasi dan melacak dengan benar aktor ancaman yang disponsori Negara dan Negara dapat menjadi tantangan,” Mike Parkin, insinyur teknis senior di Vulcan Cyber, menulis dalam sebuah pernyataan. “SentinelOne merilis informasi sekarang pada grup APT yang tampaknya telah aktif selama hampir satu dekade, dan tidak muncul dalam daftar lain, menunjukkan betapa sulitnya 'untuk memastikan' ketika Anda mengidentifikasi aktor ancaman baru. ”