Çin bağlantılı APT On Yıldır Radar Altında Uçtu

Araştırmacılar, yaklaşık on yıldır Güneydoğu Asya ve Avustralya'daki hükümet, eğitim ve telekomünikasyon kuruluşlarına karşı kampanyalar yürüten, radarın altında kalan küçük ama güçlü, Çin bağlantılı bir APT'yi tespit etti.

Araştırmacılar SentinelLabs'tan şunu söyledi Aoqin Dragon adını verdikleri APT, en az 2013'ten beri faaliyet gösteriyor. APT'nin "UNC94 adlı APT ile potansiyel ilişkisi olan, Çince konuşan küçük bir ekip" olduğunu bildirdiler.

Araştırmacılar, Aoqin Dragon'un taktik ve tekniklerinden birinin, kurbanları indirmeye ikna etmek için pornografik temalı kötü amaçlı belgeleri yem olarak kullanmak olduğunu söylüyor.

Araştırmacılar, "Aoqin Dragon, öncelikle belge istismarları ve sahte çıkarılabilir cihazların kullanımı yoluyla ilk erişimi arıyor" diye yazdı.

Aoqin Dragon'un Gelişen Gizlilik Taktikleri

Aoqin Dragon'un bu kadar uzun süre gözlerden uzak kalmasına yardımcı olan şeylerden biri de evrim geçirmeleriydi. Örneğin APT'nin hedef bilgisayarlara bulaşmak için kullandığı yöntemler gelişti.

Aoqin Dragon, operasyonlarının ilk birkaç yılında, hedeflerinin henüz düzeltmemiş olabileceği eski güvenlik açıklarından (özellikle CVE-2012-0158 ve CVE-2010-3333) yararlanmaya güvendi.

Daha sonra Aoqin Dragon, Windows klasörleri veya antivirüs yazılımı gibi görünmelerini sağlayan masaüstü simgeleri içeren yürütülebilir dosyalar oluşturdu. Bu programlar aslında arka kapılar yerleştiren ve ardından saldırganların komuta ve kontrol (C2) sunucularına geri bağlantı kuran kötü niyetli yazılımlardı.

Grup, 2018'den bu yana enfeksiyon vektörü olarak sahte, çıkarılabilir bir cihaz kullanıyor. Bir kullanıcı çıkarılabilir bir aygıt klasörü gibi görünen bir dosyayı açmak için tıkladığında, aslında makinelerine bir arka kapı ve C2 bağlantısı indiren bir zincirleme reaksiyon başlatır. Sadece bu da değil, kötü amaçlı yazılım, ana makinenin ötesine ve hedefin daha geniş ağına yayılmaya devam etmek için kendisini ana makineye bağlı herhangi bir çıkarılabilir cihaza kopyalar.

Grup, radardan uzak kalmak için başka teknikler kullandı. Güvenlik duvarlarından gizlice veri sızdırmak için internetin alan adı sistemini manipüle ederek DNS tünellemeyi kullandılar. Mongall olarak bilinen bir arka kapı kaldıracı, ana bilgisayar ile C2 sunucusu arasındaki iletişim verilerini şifreler. Araştırmacılar, zamanla APT'nin sahte çıkarılabilir disk tekniğini yavaş yavaş çalışmaya başladığını söyledi. Bu, "kötü amaçlı yazılımın güvenlik ürünleri tarafından algılanmasını ve kaldırılmasını önlemek için derecelendirilmesi" için yapıldı.

Ulus-Devlet Bağlantıları

Hedefler yalnızca birkaç gruba (hükümet, eğitim ve telekomünikasyon, hepsi Güneydoğu Asya ve çevresinde) düşme eğilimindeydi. Araştırmacılar, "Aoqin Dragon'un hedef alınmasının Çin hükümetinin siyasi çıkarlarıyla yakından uyumlu olduğunu" iddia ediyor.

Çin etkisine dair diğer kanıtlar arasında araştırmacılar tarafından bulunan ve basitleştirilmiş Çince karakterler içeren bir hata ayıklama günlüğü yer alıyor.

Hepsinden önemlisi, araştırmacılar 2014 yılında Myanmar başkanının web sitesine yapılan örtüşen bir saldırının altını çizdiler. Bu durumda polis, bilgisayar korsanlarının komuta-kontrol ve posta sunucularının izini Pekin'e kadar sürdü. Aoqin Dragon'un iki ana arka kapısı "örtüşen C2 altyapısına sahip" ve bu durumda "ve C2 sunucularının çoğu Çince konuşan kullanıcılara atfedilebilir."

Vulcan Cyber'ın kıdemli teknik mühendisi Mike Parkin, yaptığı açıklamada yine de "Devlet ve Devlet Sponsorlu tehdit aktörlerini doğru şekilde tespit etmek ve takip etmek zor olabilir" diye yazdı. “SentinelOne'un neredeyse on yıldır aktif olduğu ve diğer listelerde yer almadığı anlaşılan bir APT grubuyla ilgili bilgileri şimdi yayınlaması, yeni bir tehdit aktörünü belirlerken 'emin olmanın' ne kadar zor olabileceğini gösteriyor. ”