Daha önce belgesiz Çince konuşan gelişmiş kalıcı tehdit (APT) aktörü Aoqin Ejderhası 2013 yılına kadar uzanan, başta Güneydoğu Asya ve Avustralya’daki hükümet, eğitim ve telekom kuruluşlarını hedefleyen bir dizi casusluk odaklı saldırıyla bağlantılı.
SentinelOne araştırmacısı Joey Chen, “Aoqin Dragon, öncelikle belge açıkları ve sahte çıkarılabilir aygıtların kullanımı yoluyla ilk erişimi istiyor.” söz konusu The Hacker News ile paylaşılan bir raporda. “Saldırganın kullandığı diğer teknikler arasında DLL ele geçirme, Themida paketli dosyalarve güvenlik ihlali sonrası algılamadan kaçınmak için DNS tüneli.”
Grubun, Naikon (diğer adıyla Override Panda) olarak bilinen başka bir tehdit aktörüyle, öncelikle Avustralya, Kamboçya, Hong Kong, Singapur ve Vietnam’daki hedeflere yönelik kampanyalarla bir miktar taktik ilişkisi olduğu söyleniyor.
Aoqin Dragon tarafından monte edilen enfeksiyon zincirleri, iki arka kapıdan birinin devreye alınmasını tetiklemek için Asya-Pasifik siyasi meselelerine ve pornografik temalı belge yemlerine ve ayrıca USB kısayol tekniklerine dayandı: Mongall ve açık kaynağın değiştirilmiş bir versiyonu Heyoka projesi.
2015 yılına kadar bu, eski ve yama uygulanmamış güvenlik açıkları için açıklardan yararlanmayı içeriyordu (CVE-2012-0158 ve CVE-2010-3333) hedefleri onları açmaya ikna etmek için tasarlanmış sahte belgelerde. Yıllar geçtikçe, tehdit aktörü, implantı yerleştirmek ve uzak bir sunucuya bağlanmak için McAfee ve Bkav’dan antivirüs yazılımı gibi görünen yürütülebilir damlalıklar kullanma yaklaşımını geliştirdi.
Chen, “Sahte dosya simgelerine sahip yürütülebilir dosyalar çeşitli aktörler tarafından kullanılıyor olsa da, özellikle APT hedefleri için etkili bir araç olmaya devam ediyor,” diye açıkladı Chen. “İlginç” e-posta içeriği ve akılda kalıcı bir dosya adı ile birleştiğinde, kullanıcılar dosyaya tıklamak üzere sosyal olarak tasarlanabilir.”
Bununla birlikte, Aoqin Dragon’un 2018’den bu yana tercih ettiği en yeni başlangıç erişim vektörü, tıklandığında, simgeyle maskelenmiş bir yürütülebilir dosyayı (“RemovableDisc.exe”) çalıştıran sahte çıkarılabilir aygıt kısayol dosyasını (.LNK) kullanması olmuştur. popüler not alma uygulaması Evernote, ancak iki farklı yük için bir yükleyici olarak işlev görecek şekilde tasarlandı.
Bulaşma zincirindeki bileşenlerden biri, tüm kötü amaçlı dosyaları diğer çıkarılabilir cihazlara kopyalayan bir yayıcıdır ve ikinci modül, kendisini içine enjekte eden şifreli bir arka kapıdır. rundll32hafızası, bir yerel Windows süreci DLL dosyalarını yüklemek ve çalıştırmak için kullanılır.
olduğu biliniyor Kullanılmış en az 2013’ten bu yana, Mongall (“HJ-client.dll”) pek “özellikle zengin özelliklere sahip” olmayan bir implant olarak tanımlanır, ancak uzak bir kabuk oluşturmak ve saldırgana ve saldırgandan rastgele dosyalar yüklemek ve indirmek için yeterli özellikleri bir araya getiren bir implant olarak tanımlanır. -kontrol sunucusu.
Ayrıca düşman tarafından kullanılan, “iki yönlü bir tünel oluşturmak için sahte DNS isteklerini kullanan” bir kavram kanıtı (PoC) sızdırma aracı olan Heyoka’nın (“srvdll.dll”) yeniden işlenmiş bir çeşididir. Değiştirilmiş Heyoka arka kapısı daha güçlüdür ve dosyaları oluşturma, silme ve arama, işlemler oluşturma ve sonlandırma ve güvenliği ihlal edilmiş bir ana bilgisayarda işlem bilgilerini toplama yetenekleriyle donatılmıştır.
Chen, “Aoqin Dragon, yaklaşık on yıldır faaliyet gösteren aktif bir siber casusluk grubudur,” diye ekledi, “Ayrıca, tespitten kaçınmanın yeni yöntemlerini bularak ticari araçlarını geliştirmeye ve hedef ağlarında daha uzun süre kalmaya devam edecekler. “
