有证据表明,刚刚发现的 APT 自 2013 年以来一直处于活跃状态。
研究人员发现了一种与中国有关的小型但强大的 APT,该 APT 在针对东南亚和澳大利亚的政府、教育和电信组织的运动近十年来一直不为人知。
研究人员 来自 SentinelLabs 说 APT 被他们称为“傲琴龙”,至少从 2013 年开始运营。他们报道说,APT 是“一个可能与 [一个名为 UNC94 的 APT 相关联的小型中文团队”。
研究人员表示,Aoqin Dragon 的一种策略和技术包括使用以色情为主题的恶意文档作为诱饵,以诱使受害者下载它们。
研究人员写道:“Aoqin Dragon 主要通过文件漏洞和使用伪造的可移动设备来寻求初始访问权限。”
傲琴龙进化隐身术
奥钦龙之所以能长期保持低调,部分原因在于它们已经进化了。 例如,用于感染目标计算机的 APT 手段已经发展。
在最初几年的运营中,Aoqin Dragon 依靠利用旧漏洞——特别是 CVE-2012-0158 和 CVE-2010-3333——他们的目标可能尚未修补这些漏洞。
后来,傲勤龙创建了带有桌面图标的可执行文件,使它们看起来像 Windows 文件夹或杀毒软件。 这些程序实际上是恶意植入程序,它们植入后门,然后与攻击者的命令和控制 (C2) 服务器建立连接。
自 2018 年以来,该组织一直在使用伪造的可移动设备作为其感染媒介。 当用户点击打开看似可移动的设备文件夹时,他们实际上会启动连锁反应,将后门和 C2 连接下载到他们的机器。 不仅如此,恶意软件还会将自身复制到连接到主机的任何实际可移动设备上,以便继续传播到主机之外,并有望进入目标更广泛的网络。
该组织采用了其他技术来保持低调。 他们使用了 DNS 隧道——操纵互联网的域名系统,将数据偷偷通过防火墙。 一种称为 Mongall 的后门杠杆对主机和 C2 服务器之间的通信数据进行加密。 研究人员说,随着时间的推移,APT 开始慢慢地使用假可移动磁盘技术。 这样做是为了“对恶意软件进行分级,以防止其被安全产品检测和删除”。
民族国家联系
目标往往集中在几个方面——政府、教育和电信,都在东南亚及其周边地区。 研究人员断言,“针对奥钦龙的目标与中国政府的政治利益密切相关。”
中国影响的进一步证据包括研究人员发现的包含简体中文字符的调试日志。
最重要的是,研究人员强调了 2014 年对缅甸总统网站的重叠攻击。在这种情况下,警方将黑客的命令和控制和邮件服务器追踪到北京。 Aoqin Dragon 的两个主要后门“具有重叠的 C2 基础设施”,在这种情况下,“大多数 C2 服务器可以归因于说中文的用户。”
尽管如此,“正确识别和跟踪国家和国家赞助的威胁参与者可能具有挑战性,”Vulcan Cyber 的高级技术工程师 Mike Parkin 在一份声明中写道。 “SentinelOne 现在在一个显然活跃了近十年且没有出现在其他列表中的 APT 组织上发布了信息,这表明当你要识别一个新的威胁参与者时,‘确定’是多么困难。 ”