APT, povezan s Kitajsko, je bil desetletje pod radarjem

Raziskovalci so identificirali majhen, a močan APT, povezan s Kitajsko, ki je bil skoraj desetletje pod radarjem in je vodil kampanje proti vladnim, izobraževalnim in telekomunikacijskim organizacijam v jugovzhodni Aziji in Avstraliji.

raziskovalci iz SentinelLabs je dejal APT, ki so ga poimenovali Aoqin Dragon, deluje vsaj od leta 2013. APT je "majhna kitajsko govoreča ekipa s potencialno povezavo z [APT, imenovanim] UNC94," so poročali.

Raziskovalci pravijo, da ena od taktik in tehnik Aoqin Dragon vključuje uporabo zlonamernih dokumentov s pornografsko tematiko kot vabo, da bi žrtve premamili, da si jih naložijo.

"Aoqin Dragon išče začetni dostop predvsem z izkoriščanjem dokumentov in uporabo lažnih odstranljivih naprav," so zapisali raziskovalci.

Aoqin Dragon's Evolving Stealth Tactics

Del tega, zaradi česar je Aoqin Dragon tako dolgo ostal pod radarjem, je to, da so se razvili. Sredstva, ki jih APT uporablja za okužbo ciljnih računalnikov, so se na primer razvila.

V prvih nekaj letih delovanja se je Aoqin Dragon zanašal na izkoriščanje starih ranljivosti – zlasti CVE-2012-0158 in CVE-2010-3333 –, ki jih njihovi cilji morda še niso popravili.

Kasneje je Aoqin Dragon ustvaril izvedljive datoteke z ikonami na namizju, zaradi katerih so bile videti kot mape Windows ali protivirusna programska oprema. Ti programi so bili pravzaprav zlonamerni programi, ki so postavili stranska vrata in nato vzpostavili povezave nazaj do napadalčevih ukazno-nadzornih (C2) strežnikov.

Od leta 2018 skupina uporablja lažno odstranljivo napravo kot vektor okužbe. Ko uporabnik klikne, da odpre nekaj, kar se zdi mapa odstranljive naprave, v resnici sproži verižno reakcijo, ki na svoj računalnik prenese stranska vrata in povezavo C2. Ne le to, zlonamerna programska oprema se kopira v vse dejanske odstranljive naprave, povezane z gostiteljskim računalnikom, da bi se nadaljevala s širjenjem izven gostitelja in, upajmo, v ciljno širše omrežje.

Skupina je uporabila druge tehnike, da bi se izognila radarju. Uporabili so tuneliranje DNS – manipuliranje z internetnim sistemom domenskih imen, da bi prikradli podatke mimo požarnih zidov. En vzvod za zakulisna vrata – znan kot Mongall – šifrira komunikacijske podatke med gostiteljem in strežnikom C2. Raziskovalci so povedali, da je APT sčasoma začel počasi uporabljati tehniko lažnih odstranljivih diskov. To je bilo storjeno, da bi "nadgradili zlonamerno programsko opremo, da bi jo zaščitili pred zaznavanjem in odstranitvijo varnostnih izdelkov."

Povezave med nacionalnimi državami

Tarče so ponavadi padle v le nekaj vedrih – vlada, izobraževanje in telekomunikacije, vse v in okoli jugovzhodne Azije. Raziskovalci trdijo, da je "tarčanje Aoqin Dragon tesno povezano s političnimi interesi kitajske vlade."

Nadaljnji dokaz o vplivu Kitajske vključuje dnevnik odpravljanja napak, ki so ga našli raziskovalci in vsebuje poenostavljene kitajske znake.

Najpomembneje od vsega je to, da so raziskovalci izpostavili prekrivajoči se napad na spletno stran predsednika Mjanmara leta 2014. V tem primeru je policija izsledila ukazno-nadzorne in poštne strežnike hekerjev do Pekinga. Dva primarna zadnja vrata Aoqin Dragon "imata prekrivajočo se infrastrukturo C2," s tem primerom, "in večino strežnikov C2 je mogoče pripisati kitajsko govorečim uporabnikom."

Kljub temu je "ustrezno prepoznavanje in sledenje državnim in državno sponzoriranim akterjem groženj lahko izziv," je v izjavi zapisal Mike Parkin, višji tehnični inženir pri Vulcan Cyber. »SentinelOne zdaj objavlja informacije o skupini APT, ki je očitno aktivna že skoraj desetletje in se ne pojavlja na drugih seznamih, kaže, kako težko je biti 'prepričan', ko identificirate novega akterja grožnje. ”