Połączony z Chinami APT leciał pod radarem przez dekadę

Badacze zidentyfikowali mały, ale potężny APT powiązany z Chinami, który przez prawie dekadę był niezauważony, prowadząc kampanie przeciwko rządom, organizacjom edukacyjnym i telekomunikacyjnym w Azji Południowo-Wschodniej i Australii.

Badacze z SentinelLabs powiedział APT, który nazwali Aoqin Dragon, działa od co najmniej 2013 roku. APT jest „małym chińskojęzycznym zespołem z potencjalnym powiązaniem z [APT o nazwie] UNC94”, poinformowali.

Naukowcy twierdzą, że jedna z taktyk i technik Aoqin Dragon obejmuje wykorzystywanie szkodliwych dokumentów o tematyce pornograficznej jako przynęty, aby zachęcić ofiary do ich pobrania.

„Aoqin Dragon szuka początkowego dostępu głównie poprzez exploity w dokumentach i użycie fałszywych urządzeń wymiennych” – napisali badacze.

Ewoluująca taktyka skradania się smoka Aoqina

Częścią tego, co pomogło Aoqin Dragon pozostać poza radarem tak długo, jest to, że ewoluowali. Na przykład ewoluował sposób, w jaki APT używał do infekowania komputerów docelowych.

W ciągu pierwszych kilku lat działalności Aoqin Dragon polegał na wykorzystywaniu starych luk – w szczególności CVE-2012-0158 i CVE-2010-3333 – których cele mogły jeszcze nie zostać załatane.

Później Aoqin Dragon stworzył pliki wykonywalne z ikonami pulpitu, które sprawiały, że wyglądały jak foldery Windows lub oprogramowanie antywirusowe. Programy te były w rzeczywistości szkodliwymi dropperami, które umieszczały tylne drzwi, a następnie nawiązywały połączenia z serwerami dowodzenia (C2) atakujących.

Od 2018 roku grupa wykorzystuje fałszywe urządzenie wymienne jako wektor infekcji. Kiedy użytkownik klika, aby otworzyć coś, co wydaje się być folderem urządzenia wymiennego, w rzeczywistości inicjuje reakcję łańcuchową, która pobiera backdoora i połączenie C2 na swój komputer. Co więcej, złośliwe oprogramowanie kopiuje się do wszelkich rzeczywistych urządzeń wymiennych podłączonych do hosta, aby dalej rozprzestrzeniać się poza hosta i, miejmy nadzieję, do szerszej sieci celu.

Grupa zastosowała inne techniki, aby pozostać poza radarem. Wykorzystali tunelowanie DNS – manipulując systemem nazw domen internetowych, aby przemycić dane przez zapory sieciowe. Jedna dźwignia backdoora – znana jako Mongall – szyfruje dane komunikacyjne między hostem a serwerem C2. Z biegiem czasu, jak powiedzieli naukowcy, APT zaczął powoli pracować z techniką fałszywego dysku wymiennego. Zrobiono to, aby „zaktualizować złośliwe oprogramowanie, aby chronić je przed wykryciem i usunięciem przez produkty zabezpieczające”.

Linki państwowe

Cele zwykle spadały do ​​zaledwie kilku wiader – rząd, edukacja i telekomunikacja, w całej Azji Południowo-Wschodniej i jej okolicach. Naukowcy twierdzą, że „celowanie w Smoka Aoqina jest ściśle powiązane z politycznymi interesami chińskiego rządu”.

Kolejnym dowodem na wpływ Chin jest znaleziony przez badaczy dziennik debugowania, który zawiera uproszczone chińskie znaki.

Co najważniejsze, badacze zwrócili uwagę na nakładający się atak na stronę internetową prezydenta Myanmaru w 2014 roku. W tym przypadku policja wyśledziła serwery dowodzenia i kontroli oraz serwery pocztowe hakerów do Pekinu. W tym przypadku dwa główne backdoory Aoqin Dragon „posiadają nakładającą się infrastrukturę C2”, „a większość serwerów C2 można przypisać użytkownikom chińskojęzycznym”.

Mimo to „właściwa identyfikacja i śledzenie cyberprzestępców sponsorowanych przez państwo może być wyzwaniem” – napisał w oświadczeniu Mike Parkin, starszy inżynier techniczny w Vulcan Cyber. „SentinelOne publikujący informacje na temat grupy APT, która najwyraźniej działa od prawie dekady i nie pojawia się na innych listach, pokazuje, jak trudno jest mieć pewność, kiedy identyfikuje się nowego cyberprzestępcę. ”