Пов'язаний з Китаєм APT був недоцільним протягом десятиліття

Дослідники ідентифікували невелику, але потужну APT, пов’язану з Китаєм, яка майже десять років залишалася поза увагою, ведучи кампанії проти урядових, освітніх і телекомунікаційних організацій у Південно-Східній Азії та Австралії.

Дослідники від SentinelLabs сказав APT, яку вони назвали Aoqin Dragon, працює принаймні з 2013 року. APT — це «невелика китайськомовна команда, яка потенційно може бути пов’язана з [APT під назвою] UNC94», — повідомили вони.

Дослідники кажуть, що одна з тактик і прийомів Aoqin Dragon включає використання шкідливих документів порнографічної тематики як приманку, щоб спонукати жертв завантажити їх.

«Aoqin Dragon шукає початковий доступ, головним чином, за допомогою експлойтів документів і використання підроблених знімних пристроїв», — пишуть дослідники.

Еволюція стелс-тактики Aoqin Dragon

Частково те, що допомогло Aoqin Dragon так довго залишатися поза увагою, полягає в тому, що вони еволюціонували. Наприклад, засоби, які APT використовували для зараження цільових комп’ютерів, еволюціонували.

У перші кілька років роботи Aoqin Dragon покладалася на використання старих уразливостей, зокрема CVE-2012-0158 і CVE-2010-3333, які їхні цілі могли ще не виправити.

Пізніше Aoqin Dragon створив виконувані файли з піктограмами на робочому столі, які виглядали як папки Windows або антивірусне програмне забезпечення. Ці програми насправді були зловмисниками, які встановлювали бекдори, а потім встановлювали з’єднання з командно-контрольними (C2) серверами зловмисників.

З 2018 року група використовує фальшивий знімний пристрій як вектор свого зараження. Коли користувач клацає, щоб відкрити теку, що здається знімним пристроєм, він насправді ініціює ланцюгову реакцію, яка завантажує бекдор і підключення C2 до своєї машини. Мало того, зловмисне програмне забезпечення копіює себе на будь-які фактичні знімні пристрої, підключені до хост-комп’ютера, щоб продовжити своє поширення за межі хоста та, сподіваємось, у ширшій мережі цілі.

Група застосувала інші методи, щоб не помітити. Вони використовували DNS-тунелювання – маніпулювання системою доменних імен Інтернету, щоб передавати дані через брандмауери. Один бекдор — відомий як Mongall — шифрує дані зв’язку між хостом і сервером C2. За словами дослідників, з часом APT почав повільно використовувати техніку фальшивих знімних дисків. Це було зроблено, щоб «підвищити рівень шкідливого програмного забезпечення, щоб захистити його від виявлення та видалення продуктами безпеки».

Національно-державні зв’язки

Цілі, як правило, потрапляли лише в декілька відер – уряд, освіта та телекомунікації, у всьому Південно-Східній Азії та навколо неї. Дослідники стверджують, що «націлювання на Aoqin Dragon тісно пов’язане з політичними інтересами китайського уряду».

Ще одним доказом впливу Китаю є знайдений дослідниками журнал налагодження, який містить спрощені китайські ієрогліфи.

Найголовніше те, що дослідники підкреслили атаку на веб-сайт президента М’янми в 2014 році. У цьому випадку поліція відстежила командно-контрольні та поштові сервери хакерів у Пекіні. Два основні бекдори Aoqin Dragon «мають перекриваючу інфраструктуру C2», у цьому випадку «і більшість серверів C2 можна віднести до китайськомовних користувачів».

Тим не менш, «належне виявлення та відстеження державних і фінансованих державою суб’єктів загрози може бути складним завданням», — написав у заяві Майк Паркін, старший технічний інженер Vulcan Cyber. «Оприлюднення SentinelOne інформації про групу APT, яка, очевидно, була активною майже десять років і не відображається в інших списках, показує, наскільки важко бути «впевненим», коли ви ідентифікуєте нового суб’єкта загрози. »