China-gekoppelde APT vloog tien jaar onder radar

Onderzoekers hebben een kleine maar krachtige aan China gelinkte APT geïdentificeerd die al bijna tien jaar onder de radar is gevlogen en campagnes voert tegen overheids-, onderwijs- en telecommunicatieorganisaties in Zuidoost-Azië en Australië.

onderzoekers van SentinelLabs zei: de APT, die ze Aoqin Dragon noemden, is in ieder geval sinds 2013 actief. De APT is "een klein Chinees sprekend team met mogelijke associatie met [een APT genaamd] UNC94", meldden ze.

Onderzoekers zeggen dat een van de tactieken en technieken van Aoqin Dragon het gebruik van kwaadaardige documenten met een pornografisch thema als lokaas omvat om slachtoffers te verleiden ze te downloaden.

"Aoqin Dragon zoekt de eerste toegang voornamelijk via documentexploitaties en het gebruik van nep-verwijderbare apparaten", schreven onderzoekers.

Aoqin Dragon's evoluerende stealth-tactieken

Een deel van wat Aoqin Dragon heeft geholpen om zo lang onder de radar te blijven, is dat ze zijn geëvolueerd. De middelen die de APT gebruikt om doelcomputers te infecteren, zijn bijvoorbeeld geëvolueerd.

In de eerste paar jaar dat ze actief waren, vertrouwde Aoqin Dragon op het misbruiken van oude kwetsbaarheden – met name CVE-2012-0158 en CVE-2010-3333 – die hun doelen mogelijk nog niet hadden gepatcht.

Later creëerde Aoqin Dragon uitvoerbare bestanden met bureaubladpictogrammen waardoor ze eruitzagen als Windows-mappen of antivirussoftware. Deze programma's waren eigenlijk kwaadwillende droppers die achterdeuren installeerden en vervolgens verbindingen tot stand brachten met de command-and-control (C2) -servers van de aanvallers.

Sinds 2018 gebruikt de groep een nep-verwijderbaar apparaat als infectievector. Wanneer een gebruiker klikt om te openen wat lijkt op een verwijderbare apparaatmap, initiëren ze in feite een kettingreactie die een achterdeur en C2-verbinding naar hun machine downloadt. Niet alleen dat, de malware kopieert zichzelf naar alle daadwerkelijke verwijderbare apparaten die op de hostmachine zijn aangesloten, om zijn verspreiding buiten de host voort te zetten en, hopelijk, in het bredere netwerk van het doelwit.

De groep heeft andere technieken gebruikt om buiten de radar te blijven. Ze hebben DNS-tunneling gebruikt - het domeinnaamsysteem van het internet gemanipuleerd om gegevens langs firewalls te sluipen. Eén backdoor-hefboomwerking - bekend als Mongall - versleutelt communicatiegegevens tussen host en C2-server. Na verloop van tijd, zeiden de onderzoekers, begon de APT langzaam de nep-verwijderbare schijftechniek te gebruiken. Dit is gedaan om de malware te "pgraden om te voorkomen dat deze wordt gedetecteerd en verwijderd door beveiligingsproducten."

Links naar natiestaten

De doelen vielen meestal in slechts een paar emmers - overheid, onderwijs en telecom, allemaal in en rond Zuidoost-Azië. Onderzoekers beweren dat "het richten op Aoqin Dragon nauw aansluit bij de politieke belangen van de Chinese regering."

Verder bewijs van de invloed van China omvat een door onderzoekers gevonden debug-logboek dat vereenvoudigde Chinese karakters bevat.

Het belangrijkste is dat de onderzoekers in 2014 een overlappende aanval op de website van de president van Myanmar aan het licht brachten. In dat geval traceerde de politie de command-and-control en mailservers van de hackers naar Peking. De twee primaire backdoors van Aoqin Dragon "hebben een overlappende C2-infrastructuur", met dat geval, "en de meeste C2-servers kunnen worden toegeschreven aan Chinees sprekende gebruikers."

Toch kan "het correct identificeren en volgen van door de staat en door de staat gesponsorde dreigingsactoren een uitdaging zijn", schreef Mike Parkin, senior technisch ingenieur bij Vulcan Cyber, in een verklaring. “SentinelOne die nu de informatie vrijgeeft over een APT-groep die blijkbaar al bijna tien jaar actief is en niet in andere lijsten voorkomt, laat zien hoe moeilijk het kan zijn om 'zeker te zijn' wanneer je een nieuwe dreigingsactor identificeert. ”