APT ligado à China voou sob radar por uma década

Os investigadores identificaram uma pequena mas potente APT ligada à China que passou despercebida durante quase uma década, realizando campanhas contra organizações governamentais, de educação e de telecomunicações no Sudeste Asiático e na Austrália.

Pesquisadores do SentinelLabs disse o APT, que eles apelidaram de Aoqin Dragon, está operando pelo menos desde 2013. O APT é “uma pequena equipe de língua chinesa com potencial associação com [um APT chamado] UNC94”, relataram.

Os pesquisadores dizem que uma das táticas e técnicas do Aoqin Dragon inclui o uso de documentos maliciosos com tema pornográfico como isca para motivar as vítimas a baixá-los.

“O Aoqin Dragon busca acesso inicial principalmente por meio de explorações de documentos e do uso de dispositivos removíveis falsos”, escreveram os pesquisadores.

Táticas Furtivas em Evolução do Dragão Aoqin

Parte do que ajudou o Aoqin Dragon a permanecer fora do radar por tanto tempo é que eles evoluíram. Por exemplo, os meios que o APT usou para infectar os computadores alvo evoluíram.

Nos primeiros anos de operação, o Aoqin Dragon confiou na exploração de vulnerabilidades antigas – especificamente, CVE-2012-0158 e CVE-2010-3333 – que seus alvos talvez ainda não tivessem corrigido.

Mais tarde, o Aoqin Dragon criou arquivos executáveis ​​com ícones na área de trabalho que os faziam parecer pastas do Windows ou software antivírus. Na verdade, esses programas eram droppers maliciosos que plantavam backdoors e depois estabeleciam conexões com os servidores de comando e controle (C2) dos invasores.

Desde 2018, o grupo utiliza um dispositivo removível falso como vetor de infecção. Quando um usuário clica para abrir o que parece ser uma pasta de dispositivo removível, ele na verdade inicia uma reação em cadeia que baixa um backdoor e uma conexão C2 para sua máquina. Além disso, o malware se copia para quaisquer dispositivos removíveis conectados à máquina host, a fim de continuar sua propagação além do host e, esperançosamente, na rede mais ampla do alvo.

O grupo empregou outras técnicas para ficar fora do radar. Eles usaram o tunelamento DNS – manipulando o sistema de nomes de domínio da Internet para passar dados pelos firewalls. Uma alavanca backdoor – conhecida como Mongall – criptografa os dados de comunicação entre o host e o servidor C2. Com o tempo, disseram os pesquisadores, a APT começou lentamente a trabalhar na técnica do disco removível falso. Isso foi feito para “pgradear o malware para protegê-lo de ser detectado e removido por produtos de segurança”.

Links Estado-Nação

As metas tendem a recair em apenas alguns grupos – governo, educação e telecomunicações, todos dentro e ao redor do Sudeste Asiático. Os pesquisadores afirmam que “o ataque ao Dragão Aoqin está intimamente alinhado com os interesses políticos do governo chinês”.

Outras evidências da influência da China incluem um registro de depuração encontrado por pesquisadores que contém caracteres chineses simplificados.

Mais importante de tudo, os investigadores destacaram um ataque sobreposto ao site do presidente de Myanmar em 2014. Nesse caso, a polícia rastreou os servidores de comando e controlo e de correio dos hackers até Pequim. Os dois backdoors principais do Aoqin Dragon “têm infraestrutura C2 sobreposta”, nesse caso, “e a maioria dos servidores C2 podem ser atribuídos a usuários de língua chinesa”.

Ainda assim, “identificar e rastrear adequadamente os atores de ameaças patrocinadas pelo Estado e pelo Estado pode ser um desafio”, escreveu Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, em um comunicado. “O SentinelOne, divulgando agora as informações sobre um grupo APT que aparentemente está ativo há quase uma década e não aparece em outras listas, mostra como pode ser difícil 'ter certeza' ao identificar um novo ator de ameaça. ”