Связанная с Китаем APT летала под радаром в течение десятилетия

Исследователи выявили небольшой, но мощный APT, связанный с Китаем, который почти десять лет оставался незамеченным, проводя кампании против правительства, образовательных и телекоммуникационных организаций в Юго-Восточной Азии и Австралии.

Исследователи из SentinelLabs сказал APT, которую они назвали Aoqin Dragon, работает по крайней мере с 2013 года. APT — это «небольшая китайскоязычная команда, потенциально связанная с [APT под названием] UNC94», — сообщили они.

Исследователи говорят, что одна из тактик и методов Aoqin Dragon включает использование вредоносных документов порнографической тематики в качестве приманки, чтобы побудить жертв загрузить их.

«Aoqin Dragon ищет первоначальный доступ в основном с помощью эксплойтов документов и использования поддельных съемных устройств», — пишут исследователи.

Эволюция стелс-тактики Aoqin Dragon

Часть того, что помогло Aoqin Dragon так долго оставаться вне поля зрения, заключается в том, что они эволюционировали. Например, средства, используемые APT для заражения целевых компьютеров, эволюционировали.

В первые несколько лет своей работы Aoqin Dragon использовала старые уязвимости, в частности, CVE-2012-0158 и CVE-2010-3333, которые, возможно, еще не были исправлены.

Позже Aoqin Dragon создал исполняемые файлы со значками на рабочем столе, которые выглядели как папки Windows или антивирусное программное обеспечение. Эти программы на самом деле были вредоносными дропперами, которые устанавливали бэкдоры, а затем устанавливали обратное соединение с серверами управления и контроля (C2) злоумышленников.

С 2018 года группа использует поддельные съемные устройства в качестве вектора заражения. Когда пользователь щелкает, чтобы открыть то, что кажется папкой съемного устройства, он фактически инициирует цепную реакцию, которая загружает бэкдор и соединение C2 на его машину. Мало того, вредоносное ПО копирует себя на любые фактические съемные устройства, подключенные к хост-компьютеру, чтобы продолжить свое распространение за пределы хоста и, возможно, в более широкую сеть цели.

Группа использовала другие методы, чтобы оставаться вне поля зрения. Они использовали DNS-туннелирование — манипулирование системой доменных имен в Интернете для кражи данных через брандмауэры. Один бэкдор, известный как Mongall, шифрует данные связи между хостом и C2-сервером. По словам исследователей, со временем APT начал медленно работать с техникой поддельных съемных дисков. Это было сделано для того, чтобы «обновить вредоносное ПО, чтобы защитить его от обнаружения и удаления продуктами безопасности».

Ссылки на государства

Цели, как правило, попадали всего в несколько сегментов — правительство, образование и телекоммуникации, все в Юго-Восточной Азии и вокруг нее. Исследователи утверждают, что «преследование Aoqin Dragon тесно связано с политическими интересами китайского правительства».

Еще одним свидетельством влияния Китая является обнаруженный исследователями журнал отладки, который содержит упрощенные китайские иероглифы.

Самое главное, исследователи выявили перекрывающуюся атаку на веб-сайт президента Мьянмы еще в 2014 году. В этом случае полиция отследила командно-административные и почтовые серверы хакеров до Пекина. Два основных бэкдора Aoqin Dragon «имеют перекрывающуюся инфраструктуру C2», в этом случае «и большинство серверов C2 можно отнести к китайскоязычным пользователям».

Тем не менее, «правильная идентификация и отслеживание субъектов угроз, спонсируемых государством и государством, может быть сложной задачей», — написал в своем заявлении Майк Паркин, старший технический инженер Vulcan Cyber. «SentinelOne публикует информацию об APT-группе, которая, по-видимому, была активна в течение почти десяти лет и не фигурирует в других списках, показывает, насколько сложно быть «уверенным», когда вы идентифицируете нового злоумышленника. ”