หลักฐานบ่งชี้ว่า APT ที่เพิ่งค้นพบเปิดใช้งานมาตั้งแต่ปี 2013
นักวิจัยระบุ APT ขนาดเล็กแต่ทรงพลังที่เชื่อมโยงกับจีนซึ่งบินอยู่ใต้เรดาร์มาเกือบทศวรรษที่ดำเนินการรณรงค์ต่อต้านรัฐบาล การศึกษา และองค์กรโทรคมนาคมในเอเชียตะวันออกเฉียงใต้และออสเตรเลีย
นักวิจัย จาก SentinelLabs กล่าวว่า APT ซึ่งพวกเขาขนานนามว่า Aoqin Dragon ได้เปิดดำเนินการมาอย่างน้อยในปี 2013 APT เป็น “ทีมที่พูดภาษาจีนขนาดเล็กที่มีศักยภาพเชื่อมโยงกับ [APT ที่เรียกว่า] UNC94” พวกเขารายงาน
นักวิจัยกล่าวว่ากลวิธีและเทคนิคอย่างหนึ่งของ Aoqin Dragon รวมถึงการใช้เอกสารมุ่งร้ายที่มีภาพอนาจารเป็นเหยื่อล่อเพื่อล่อให้เหยื่อดาวน์โหลดเอกสารเหล่านี้
“Aoqin Dragon พยายามเข้าถึงเบื้องต้นผ่านการใช้ประโยชน์จากเอกสารและการใช้อุปกรณ์ที่ถอดออกได้ปลอมเป็นหลัก” นักวิจัยเขียน
Aoqin Dragon's Evolving Stealth Tactics
ส่วนหนึ่งของสิ่งที่ช่วยให้ Aoqin Dragon อยู่ภายใต้เรดาร์มานานคือพวกมันมีวิวัฒนาการ ตัวอย่างเช่น วิธีที่ APT ใช้ในการแพร่ระบาดในคอมพิวเตอร์เป้าหมายได้พัฒนาขึ้น
ในช่วงสองสามปีแรกของการดำเนินงาน Aoqin Dragon อาศัยการใช้ประโยชน์จากช่องโหว่เก่า โดยเฉพาะ CVE-2012-0158 และ CVE-2010-3333 ซึ่งเป้าหมายของพวกเขาอาจยังไม่ได้แก้ไข
ต่อมา Aoqin Dragon ได้สร้างไฟล์ปฏิบัติการที่มีไอคอนเดสก์ท็อปที่ทำให้ดูเหมือนโฟลเดอร์ Windows หรือซอฟต์แวร์ป้องกันไวรัส โปรแกรมเหล่านี้เป็นโปรแกรมดรอปเพอร์ที่เป็นอันตรายซึ่งวางแบ็คดอร์และสร้างการเชื่อมต่อกลับไปยังเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) ของผู้โจมตี
ตั้งแต่ปี 2018 กลุ่มนี้ใช้อุปกรณ์ที่ถอดออกได้ปลอมเป็นพาหะของการติดเชื้อ เมื่อผู้ใช้คลิกเพื่อเปิดสิ่งที่ดูเหมือนจะเป็นโฟลเดอร์อุปกรณ์แบบถอดได้ แท้จริงแล้วพวกเขาจะเริ่มต้นปฏิกิริยาลูกโซ่ซึ่งดาวน์โหลดการเชื่อมต่อแบ็คดอร์และ C2 ไปยังเครื่องของตน ไม่เพียงเท่านั้น มัลแวร์ยังคัดลอกตัวเองไปยังอุปกรณ์ที่ถอดออกได้จริง ๆ ที่เชื่อมต่อกับเครื่องโฮสต์ เพื่อที่จะแพร่กระจายต่อไปนอกโฮสต์และหวังว่าจะเข้าสู่เครือข่ายที่กว้างขึ้นของเป้าหมาย
กลุ่มนี้ได้ใช้เทคนิคอื่นๆ เพื่อหลีกเลี่ยงเรดาร์ พวกเขาใช้ DNS tunneling – จัดการระบบชื่อโดเมนของอินเทอร์เน็ตเพื่อแอบดูข้อมูลผ่านไฟร์วอลล์ เลเวอเรจประตูหลังเดียว – เรียกว่า Mongall – เข้ารหัสข้อมูลการสื่อสารระหว่างโฮสต์และเซิร์ฟเวอร์ C2 เมื่อเวลาผ่านไป นักวิจัยกล่าวว่า APT เริ่มทำงานกับเทคนิคดิสก์ที่ถอดออกได้อย่างช้าๆ สิ่งนี้ทำเพื่อ ” pgraded มัลแวร์เพื่อป้องกันไม่ให้ถูกตรวจพบและลบออกโดยผลิตภัณฑ์รักษาความปลอดภัย”
ลิงค์ประชาชาติ-รัฐ
เป้าหมายมีแนวโน้มลดลงเพียงไม่กี่ถัง – รัฐบาล การศึกษา และโทรคมนาคม ทั้งหมดทั้งในและรอบๆ เอเชียตะวันออกเฉียงใต้ นักวิจัยยืนยันว่า “เป้าหมายของ Aoqin Dragon สอดคล้องกับผลประโยชน์ทางการเมืองของรัฐบาลจีนอย่างใกล้ชิด”
หลักฐานเพิ่มเติมเกี่ยวกับอิทธิพลของจีนรวมถึงบันทึกการแก้ปัญหาที่พบโดยนักวิจัยที่มีตัวอักษรจีนตัวย่อ
ที่สำคัญที่สุด นักวิจัยเน้นย้ำถึงการโจมตีที่ทับซ้อนกันบนเว็บไซต์ของประธานาธิบดีเมียนมาร์เมื่อปี 2014 ในกรณีนั้น ตำรวจติดตามคำสั่งและควบคุมของแฮกเกอร์และเซิร์ฟเวอร์อีเมลไปยังปักกิ่ง แบ็คดอร์หลักสองแห่งของ Aoqin Dragon “มีโครงสร้างพื้นฐาน C2 ที่ทับซ้อนกัน” ในกรณีนี้ “และเซิร์ฟเวอร์ C2 ส่วนใหญ่สามารถมาจากผู้ใช้ที่พูดภาษาจีนได้”
อย่างไรก็ตาม “การระบุและติดตามผู้คุกคามที่ได้รับการสนับสนุนจากรัฐและรัฐอย่างเหมาะสมอาจเป็นเรื่องท้าทาย” Mike Parkin วิศวกรด้านเทคนิคอาวุโสของ Vulcan Cyber เขียนในแถลงการณ์ “ตอนนี้ SentinelOne เปิดเผยข้อมูลในกลุ่ม APT ที่เห็นได้ชัดว่ามีความเคลื่อนไหวมาเกือบทศวรรษแล้ว และไม่ปรากฏในรายชื่ออื่น แสดงให้เห็นว่าการ 'แน่ใจ' นั้นยากเพียงใดเมื่อคุณระบุตัวผู้คุกคามรายใหม่ ”
- blockchain
- เหรียญอัจฉริยะ
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- รัฐบาล
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ช่องโหว่
- ความปลอดภัยของเว็บไซต์
- ลมทะเล