Un actor de amenazas persistentes avanzadas (APT) de habla china previamente indocumentado apodado Dragón Aoqin se ha relacionado con una serie de ataques orientados al espionaje dirigidos a entidades gubernamentales, educativas y de telecomunicaciones principalmente en el sudeste asiático y Australia que datan de 2013.
«Aoqin Dragon busca el acceso inicial principalmente a través de vulnerabilidades de documentos y el uso de dispositivos extraíbles falsos», dijo Joey Chen, investigador de SentinelOne. dijo en un informe compartido con The Hacker News. «Otras técnicas que se ha observado que usa el atacante incluyen el secuestro de DLL, Archivos llenos de Themiday tunelización de DNS para evadir la detección posterior al compromiso».
Se dice que el grupo tiene cierto nivel de asociación táctica con otro actor de amenazas conocido como Naikon (también conocido como Override Panda), con campañas dirigidas principalmente contra objetivos en Australia, Camboya, Hong Kong, Singapur y Vietnam.
Las cadenas de infecciones montadas por Aoqin Dragon se han basado en asuntos políticos de Asia-Pacífico y señuelos de documentos con temas pornográficos, así como técnicas de acceso directo USB para desencadenar el despliegue de una de las dos puertas traseras: Mongall y una versión modificada de código abierto. proyecto heyoka.
Hasta 2015, esto implicó aprovechar las vulnerabilidades de seguridad antiguas y sin parches (CVE-2012-0158 y CVE-2010-3333) en los documentos señuelo que fueron diseñados para incitar a los objetivos a abrirlos. A lo largo de los años, el actor de amenazas ha evolucionado su enfoque para emplear cuentagotas ejecutables disfrazados de software antivirus de McAfee y Bkav para implementar el implante y conectarse a un servidor remoto.
«Aunque una variedad de actores han utilizado archivos ejecutables con iconos de archivos falsos, sigue siendo una herramienta eficaz, especialmente para los objetivos APT», explicó Chen. «Combinado con contenido de correo electrónico ‘interesante’ y un nombre de archivo pegadizo, se puede diseñar socialmente a los usuarios para que hagan clic en el archivo».
Dicho esto, el vector de acceso inicial más nuevo elegido por Aoqin Dragon desde 2018 ha sido el uso de un archivo de acceso directo de dispositivo extraíble falso (.LNK), que, cuando se hace clic, ejecuta un ejecutable («RemovableDisc.exe») enmascarado con el ícono para el Evernote, la popular aplicación para tomar notas, pero está diseñada para funcionar como un cargador para dos cargas útiles diferentes.
Uno de los componentes de la cadena de infección es un propagador que copia todos los archivos maliciosos a otros dispositivos extraíbles y el segundo módulo es una puerta trasera encriptada que se inyecta en rundll32la memoria, un proceso nativo de Windows se utiliza para cargar y ejecutar archivos DLL.
Conocido por ser usó desde al menos 2013, Mongall («HJ-client.dll») se describe como un implante no tan «particularmente rico en funciones», pero que incluye suficientes funciones para crear un shell remoto y cargar y descargar archivos arbitrarios desde y hacia el atacante. -servidor de control.
El adversario también utiliza una variante modificada de Heyoka («srvdll.dll»), una herramienta de exfiltración de prueba de concepto (PoC) «que utiliza solicitudes de DNS falsificadas para crear un túnel bidireccional». La puerta trasera modificada de Heyoka es más poderosa, está equipada con capacidades para crear, eliminar y buscar archivos, crear y finalizar procesos y recopilar información de procesos en un host comprometido.
«Aoqin Dragon es un grupo de espionaje cibernético activo que ha estado operando durante casi una década», dijo Chen, y agregó que «es probable que también continúen avanzando en su oficio, encontrando nuevos métodos para evadir la detección y permanecer más tiempo en su red objetivo». .»