증거에 따르면 방금 발견된 APT는 2013년부터 활성화되었습니다.
연구원들은 거의 XNUMX년 동안 동남 아시아와 호주의 정부, 교육 및 통신 기관에 대한 캠페인을 실행하는 레이더 아래에 날아간 작지만 강력한 중국 관련 APT를 식별했습니다.
연구원 SentinelLabs의 말 Aoqin Dragon이라고 명명한 APT는 최소 2013년부터 운영되어 왔습니다. APT는 “UNC94와 잠재적인 연관이 있는 중국어를 구사하는 소규모 팀”이라고 보고했습니다.
연구원들은 Aoqin Dragon의 전술과 기술 중 하나로 음란물을 주제로 한 악성 문서를 미끼로 사용하여 피해자가 다운로드하도록 유도한다고 말합니다.
"Aoqin Dragon은 주로 문서 악용과 가짜 이동식 장치 사용을 통해 초기 액세스를 시도합니다."라고 연구원은 썼습니다.
Aoqin Dragon의 진화하는 은신 전술
Aoqin Dragon이 오랫동안 레이더에 노출되지 않도록 도와준 부분 중 하나는 진화했기 때문입니다. 예를 들어, 대상 컴퓨터를 감염시키는 데 사용되는 APT 수단이 진화했습니다.
운영 초기 몇 년 동안 Aoqin Dragon은 대상이 아직 패치하지 않았을 수 있는 오래된 취약점(특히 CVE-2012-0158 및 CVE-2010-3333)을 악용했습니다.
나중에 Aoqin Dragon은 바탕 화면 아이콘이 있는 실행 파일을 만들어 Windows 폴더나 바이러스 백신 소프트웨어처럼 보이게 만들었습니다. 이러한 프로그램은 실제로 백도어를 설치한 다음 공격자의 명령 및 제어(C2) 서버에 대한 연결을 다시 설정하는 악의적인 드롭퍼였습니다.
2018년부터 이 그룹은 가짜 이동식 장치를 감염 매개체로 활용하고 있습니다. 사용자가 이동식 장치 폴더로 보이는 것을 클릭하여 열면 실제로 백도어 및 C2 연결을 컴퓨터에 다운로드하는 연쇄 반응을 시작합니다. 그뿐만 아니라 멀웨어는 호스트 컴퓨터에 연결된 실제 이동식 장치에 자신을 복사하여 호스트를 넘어 대상의 더 넓은 네트워크로 확산을 계속합니다.
이 그룹은 레이더에서 벗어나기 위해 다른 기술을 사용했습니다. 그들은 DNS 터널링을 사용하여 인터넷의 도메인 이름 시스템을 조작하여 방화벽을 통해 데이터를 몰래 빠져나갔습니다. Mongall로 알려진 백도어 활용은 호스트와 C2 서버 간의 통신 데이터를 암호화합니다. 연구원들은 시간이 지남에 따라 APT가 가짜 이동식 디스크 기술을 천천히 작동시키기 시작했다고 말했습니다. 이것은 "보안 제품에 의해 탐지 및 제거되는 것을 방지하기 위해 멀웨어를 pgraded"하기 위해 수행되었습니다.
국가 링크
목표는 동남아시아 및 그 주변에서 정부, 교육 및 통신과 같은 몇 가지 버킷에 떨어지는 경향이 있습니다. 연구원들은 "Aoqin Dragon의 표적은 중국 정부의 정치적 이해관계와 밀접하게 일치합니다."라고 주장합니다.
중국의 영향에 대한 추가 증거는 간체 중국어 문자가 포함된 연구원이 발견한 디버그 로그를 포함합니다.
무엇보다도 연구원들은 2014년에 미얀마 대통령 웹사이트에 대한 중복 공격을 강조했습니다. 이 경우 경찰은 해커의 명령 및 제어 및 메일 서버를 베이징으로 추적했습니다. Aoqin Dragon의 2개의 기본 백도어는 "중복된 C2 인프라를 가지고" 있으며, 이 경우 "대부분의 CXNUMX 서버는 중국어를 구사하는 사용자에게 기인할 수 있습니다."
그러나 Vulcan Cyber의 수석 기술 엔지니어인 Mike Parkin은 성명에서 "국가 및 국가 후원 위협 행위자를 적절히 식별하고 추적하는 것은 어려울 수 있습니다."라고 말했습니다. “SentinelOne이 거의 XNUMX년 동안 활동해 왔으며 다른 목록에는 없는 APT 그룹에 대한 정보를 지금 공개하는 것은 새로운 위협 행위자를 식별할 때 '확신'하기가 얼마나 어려운지를 보여줍니다. "
