Kina-tilknyttet APT fløy under radar i tiår

Forskere har identifisert en liten, men likevel potent Kina-tilknyttet APT som har fløyet under radaren i nesten et tiår med kampanjer mot myndigheter, utdannings- og telekommunikasjonsorganisasjoner i Sørøst-Asia og Australia.

Forskere fra SentinelLabs sa APT, som de kalte Aoqin Dragon, har vært i drift siden minst 2013. APT er "et lite kinesisktalende team med potensiell tilknytning til [en APT kalt] UNC94," rapporterte de.

Forskere sier at en av taktikkene og teknikkene til Aoqin Dragon inkluderer bruk av ondsinnede dokumenter med pornografisk tema som lokkemiddel for å lokke ofre til å laste dem ned.

"Aoqin Dragon søker innledende tilgang primært gjennom dokumentutnyttelse og bruk av falske flyttbare enheter," skrev forskere.

Aoqin Dragons Evolving Stealth Tactics

Noe av det som har hjulpet Aoqin Dragon med å holde seg under radaren så lenge, er at de har utviklet seg. For eksempel har virkemidlene APT brukte for å infisere måldatamaskiner utviklet seg.

I de første årene av driften, stolte Aoqin Dragon på å utnytte gamle sårbarheter – spesifikt CVE-2012-0158 og CVE-2010-3333 – som deres mål kanskje ikke har korrigert ennå.

Senere opprettet Aoqin Dragon kjørbare filer med skrivebordsikoner som fikk dem til å se ut som Windows-mapper eller antivirusprogramvare. Disse programmene var faktisk ondsinnede droppere som plantet bakdører og deretter etablerte forbindelser tilbake til angripernes kommando-og-kontroll-servere (C2).

Siden 2018 har gruppen brukt en falsk flyttbar enhet som deres infeksjonsvektor. Når en bruker klikker for å åpne det som ser ut til å være en flyttbar enhetsmappe, starter de faktisk en kjedereaksjon som laster ned en bakdør og C2-tilkobling til maskinen deres. Ikke bare det, skadelig programvare kopierer seg selv til alle faktiske flyttbare enheter som er koblet til vertsmaskinen, for å fortsette spredningen utover verten og, forhåpentligvis, inn i målets bredere nettverk.

Gruppen har brukt andre teknikker for å holde seg utenfor radaren. De har brukt DNS-tunneling – manipulert internetts domenenavnsystem for å snike data forbi brannmurer. Én bakdørsfunksjon – kjent som Mongall – krypterer kommunikasjonsdata mellom vert og C2-server. Over tid, sa forskerne, begynte APT sakte å jobbe med den falske flyttbare diskteknikken. Dette ble gjort for å "oppgradere skadelig programvare for å beskytte den mot å bli oppdaget og fjernet av sikkerhetsprodukter."

Nasjonalstatslenker

Mål har hatt en tendens til å falle på bare noen få bøtter – myndigheter, utdanning og telekom, alt i og rundt Sørøst-Asia. Forskere hevder at "målrettingen av Aoqin Dragon er nøye på linje med den kinesiske regjeringens politiske interesser."

Ytterligere bevis på Kinas innflytelse inkluderer en feilsøkingslogg funnet av forskere som inneholder forenklede kinesiske tegn.

Viktigst av alt, forskerne fremhevet et overlappende angrep på presidenten for Myanmars nettside tilbake i 2014. I så fall sporet politiet hackernes kommando-og-kontroll- og e-postservere til Beijing. Aoqin Dragons to primære bakdører "har overlappende C2-infrastruktur," med det tilfellet, "og de fleste av C2-serverne kan tilskrives kinesisktalende brukere."

Likevel kan det være utfordrende å identifisere og spore trusselaktører som er sponset av staten og staten,» skrev Mike Parkin, senior teknisk ingeniør ved Vulcan Cyber, i en uttalelse. «SentinelOne som frigir informasjonen nå om en APT-gruppe som tilsynelatende har vært aktiv i nesten et tiår, og som ikke vises i andre lister, viser hvor vanskelig det kan være 'å være sikker' når du identifiserer en ny trusselaktør. ”