L'APT, collegata alla Cina, ha volato sotto il radar per un decennio

I ricercatori hanno identificato un piccolo ma potente APT legato alla Cina che è rimasto nascosto per quasi un decennio conducendo campagne contro organizzazioni governative, educative e di telecomunicazioni nel sud-est asiatico e in Australia.

Ricercatori di SentinelLabs ha detto l'APT, che hanno soprannominato Aoqin Dragon, è operativo almeno dal 2013. L'APT è "una piccola squadra di lingua cinese con una potenziale associazione a [un APT chiamato] UNC94", hanno riferito.

I ricercatori affermano che una delle tattiche e delle tecniche di Aoqin Dragon include l'utilizzo di documenti dannosi a tema pornografico come esca per invogliare le vittime a scaricarli.

"Aoqin Dragon cerca l'accesso iniziale principalmente attraverso exploit di documenti e l'uso di falsi dispositivi rimovibili", hanno scritto i ricercatori.

Tattiche furtive in evoluzione di Aoqin Dragon

Parte di ciò che ha aiutato Aoqin Dragon a rimanere nascosto per così tanto tempo è che si sono evoluti. Ad esempio, i mezzi utilizzati dall'APT per infettare i computer di destinazione si sono evoluti.

Nei primi anni di attività, Aoqin Dragon si è affidato allo sfruttamento di vecchie vulnerabilità, in particolare CVE-2012-0158 e CVE-2010-3333, che i loro obiettivi potrebbero non aver ancora corretto.

Successivamente, Aoqin Dragon ha creato file eseguibili con icone del desktop che li facevano sembrare cartelle di Windows o software antivirus. Questi programmi erano in realtà contagocce dannosi che impiantavano backdoor e quindi stabilivano connessioni di nuovo ai server di comando e controllo (C2) degli aggressori.

Dal 2018, il gruppo utilizza un falso dispositivo rimovibile come vettore di infezione. Quando un utente fa clic per aprire quella che sembra essere una cartella di un dispositivo rimovibile, avvia infatti una reazione a catena che scarica una backdoor e una connessione C2 sul proprio computer. Non solo, il malware si copia su qualsiasi dispositivo rimovibile effettivo connesso alla macchina host, al fine di continuare a diffondersi oltre l'host e, si spera, nella rete più ampia del bersaglio.

Il gruppo ha impiegato altre tecniche per rimanere fuori dal radar. Hanno utilizzato il tunneling DNS, manipolando il sistema dei nomi di dominio di Internet per intrufolare i dati oltre i firewall. Una leva backdoor, nota come Mongall, crittografa i dati di comunicazione tra host e server C2. Nel corso del tempo, hanno detto i ricercatori, l'APT ha iniziato a lavorare lentamente con la tecnica del falso disco rimovibile. Ciò è stato fatto per "aggiornare il malware per proteggerlo dall'essere rilevato e rimosso dai prodotti di sicurezza".

Collegamenti Nazione-Stato

Gli obiettivi tendevano a cadere in pochi secchi: governo, istruzione e telecomunicazioni, tutto dentro e intorno al sud-est asiatico. I ricercatori affermano che "il bersaglio di Aoqin Dragon è strettamente allineato con gli interessi politici del governo cinese".

Ulteriori prove dell'influenza della Cina includono un registro di debug trovato dai ricercatori che contiene caratteri cinesi semplificati.

Soprattutto, i ricercatori hanno evidenziato un attacco sovrapposto al sito web del presidente del Myanmar nel 2014. In quel caso, la polizia ha rintracciato i server di comando e controllo e di posta degli hacker a Pechino. Le due backdoor principali di Aoqin Dragon "hanno un'infrastruttura C2 sovrapposta", con quel caso, "e la maggior parte dei server C2 può essere attribuita a utenti di lingua cinese".

Tuttavia, "identificare e tracciare correttamente gli attori delle minacce sponsorizzate dallo Stato e dallo Stato può essere difficile", ha scritto Mike Parkin, ingegnere tecnico senior di Vulcan Cyber, in una dichiarazione. “SentinelOne rilascia ora le informazioni su un gruppo APT che apparentemente è attivo da quasi un decennio e non compare in altri elenchi, mostra quanto possa essere difficile 'essere sicuri' quando si identifica un nuovo attore di minacce. "