Докази свідчать про те, що щойно виявлений APT діє з 2013 року.
Дослідники ідентифікували невелику, але потужну APT, пов’язану з Китаєм, яка майже десять років залишалася поза увагою, ведучи кампанії проти урядових, освітніх і телекомунікаційних організацій у Південно-Східній Азії та Австралії.
Дослідники від SentinelLabs сказав APT, яку вони назвали Aoqin Dragon, працює принаймні з 2013 року. APT — це «невелика китайськомовна команда, яка потенційно може бути пов’язана з [APT під назвою] UNC94», — повідомили вони.
Дослідники кажуть, що одна з тактик і прийомів Aoqin Dragon включає використання шкідливих документів порнографічної тематики як приманку, щоб спонукати жертв завантажити їх.
«Aoqin Dragon шукає початковий доступ, головним чином, за допомогою експлойтів документів і використання підроблених знімних пристроїв», — пишуть дослідники.
Еволюція стелс-тактики Aoqin Dragon
Частково те, що допомогло Aoqin Dragon так довго залишатися поза увагою, полягає в тому, що вони еволюціонували. Наприклад, засоби, які APT використовували для зараження цільових комп’ютерів, еволюціонували.
У перші кілька років роботи Aoqin Dragon покладалася на використання старих уразливостей, зокрема CVE-2012-0158 і CVE-2010-3333, які їхні цілі могли ще не виправити.
Пізніше Aoqin Dragon створив виконувані файли з піктограмами на робочому столі, які виглядали як папки Windows або антивірусне програмне забезпечення. Ці програми насправді були зловмисниками, які встановлювали бекдори, а потім встановлювали з’єднання з командно-контрольними (C2) серверами зловмисників.
З 2018 року група використовує фальшивий знімний пристрій як вектор свого зараження. Коли користувач клацає, щоб відкрити теку, що здається знімним пристроєм, він насправді ініціює ланцюгову реакцію, яка завантажує бекдор і підключення C2 до своєї машини. Мало того, зловмисне програмне забезпечення копіює себе на будь-які фактичні знімні пристрої, підключені до хост-комп’ютера, щоб продовжити своє поширення за межі хоста та, сподіваємось, у ширшій мережі цілі.
Група застосувала інші методи, щоб не помітити. Вони використовували DNS-тунелювання – маніпулювання системою доменних імен Інтернету, щоб передавати дані через брандмауери. Один бекдор — відомий як Mongall — шифрує дані зв’язку між хостом і сервером C2. За словами дослідників, з часом APT почав повільно використовувати техніку фальшивих знімних дисків. Це було зроблено, щоб «підвищити рівень шкідливого програмного забезпечення, щоб захистити його від виявлення та видалення продуктами безпеки».
Національно-державні зв’язки
Цілі, як правило, потрапляли лише в декілька відер – уряд, освіта та телекомунікації, у всьому Південно-Східній Азії та навколо неї. Дослідники стверджують, що «націлювання на Aoqin Dragon тісно пов’язане з політичними інтересами китайського уряду».
Ще одним доказом впливу Китаю є знайдений дослідниками журнал налагодження, який містить спрощені китайські ієрогліфи.
Найголовніше те, що дослідники підкреслили атаку на веб-сайт президента М’янми в 2014 році. У цьому випадку поліція відстежила командно-контрольні та поштові сервери хакерів у Пекіні. Два основні бекдори Aoqin Dragon «мають перекриваючу інфраструктуру C2», у цьому випадку «і більшість серверів C2 можна віднести до китайськомовних користувачів».
Тим не менш, «належне виявлення та відстеження державних і фінансованих державою суб’єктів загрози може бути складним завданням», — написав у заяві Майк Паркін, старший технічний інженер Vulcan Cyber. «Оприлюднення SentinelOne інформації про групу APT, яка, очевидно, була активною майже десять років і не відображається в інших списках, показує, наскільки важко бути «впевненим», коли ви ідентифікуєте нового суб’єкта загрози. »
- blockchain
- coingenius
- крипто-валютні кошельки
- криптообмін
- кібер-безпеки
- кіберзлочинці
- Кібербезпека
- управління внутрішньої безпеки
- цифрові гаманці
- брандмауер
- Уряд
- Kaspersky
- шкідливих програм
- Макафі
- NexBLOC
- plato
- платон ai
- Інформація про дані Платона
- Гра Платон
- PlatoData
- platogaming
- VPN
- Уразливості
- безпеки веб-сайтів
- зефірнет