証拠は、発見されたばかりのAPTが2013年から活動していることを示唆しています。
研究者たちは、東南アジアとオーストラリアの政府、教育、電気通信組織に対してキャンペーンを実行しているXNUMX年近くの間、レーダーの下で飛んできた、小さいながらも強力な中国にリンクされたAPTを特定しました。
研究者 SentinelLabsから 彼らがAoqinDragonと名付けたAPTは、少なくとも2013年から運用されています。APTは「[APTと呼ばれる]UNC94に関連する可能性のある小さな中国語を話すチーム」であると彼らは報告しました。
研究者によると、Aoqin Dragonの戦術と手法のXNUMXつには、ポルノをテーマにした悪意のあるドキュメントを餌として使用して、被害者にダウンロードを促すことが含まれています。
「AoqinDragonは、主にドキュメントの悪用と偽のリムーバブルデバイスの使用を通じて初期アクセスを求めています」と研究者は書いています。
AoqinDragonの進化するステルス戦術
Aoqin Dragonが長い間レーダーの下にとどまるのを助けたのは、彼らが進化したことです。 たとえば、ターゲットコンピュータに感染するために使用されるAPTが進化したことを意味します。
Aoqin Dragonは、運用の最初の数年間、ターゲットにまだパッチが適用されていない可能性のある古い脆弱性(具体的には、CVE-2012-0158およびCVE-2010-3333)の悪用に依存していました。
その後、Aoqin Dragonは、デスクトップアイコンを使用して実行可能ファイルを作成し、Windowsフォルダーまたはウイルス対策ソフトウェアのように見せました。 これらのプログラムは実際には悪意のあるドロッパーであり、バックドアを仕掛けてから、攻撃者のコマンドアンドコントロール(C2)サーバーへの接続を確立しました。
2018年以来、このグループは感染ベクトルとして偽のリムーバブルデバイスを利用しています。 ユーザーがクリックしてリムーバブルデバイスフォルダーのように見えるものを開くと、実際には連鎖反応が開始され、バックドアとC2接続がマシンにダウンロードされます。 それだけでなく、マルウェアは、ホストを超えて、できればターゲットのより広範なネットワークに拡散し続けるために、ホストマシンに接続されている実際のリムーバブルデバイスに自分自身をコピーします。
このグループは、レーダーから離れるために他の技術を採用しています。 彼らはDNSトンネリングを使用しており、インターネットのドメインネームシステムを操作してファイアウォールを越えてデータを盗み出しました。 2つのバックドアレバレッジ(Mongallと呼ばれる)は、ホストとCXNUMXサーバー間の通信データを暗号化します。 時間が経つにつれて、研究者たちは、APTが偽のリムーバブルディスク技術をゆっくりと働き始めたと言いました。 これは、「マルウェアをセキュリティ製品によって検出および削除されないように保護するためにマルウェアを格付けする」ために行われました。
国民国家リンク
ターゲットは、東南アジアとその周辺のすべての政府、教育、電気通信など、ほんのわずかなバケツに分類される傾向があります。 研究者たちは、「アオキンドラゴンの標的は中国政府の政治的利益と密接に一致している」と主張している。
中国の影響のさらなる証拠には、簡体字中国語の文字を含む研究者によって発見されたデバッグログが含まれます。
何よりも重要なのは、2014年にミャンマーのウェブサイトの大統領に対する重複攻撃を強調したことです。その場合、警察はハッカーのコマンドアンドコントロールサーバーとメールサーバーを北京まで追跡しました。 Aoqin Dragonの2つの主要なバックドアは「C2インフラストラクチャが重複しています」。その場合、「CXNUMXサーバーのほとんどは中国語を話すユーザーに起因する可能性があります」。
それでも、「州および州が後援する脅威アクターを適切に特定して追跡することは困難な場合があります」と、VulcanCyberのシニアテクニカルエンジニアであるMikeParkinは声明で述べています。 「SentinelOneは、ほぼXNUMX年間アクティブであり、他のリストには表示されていないAPTグループに関する情報を現在リリースしています。これは、新しい脅威アクターを特定するときに「確実に」することがいかに難しいかを示しています。 」
