Un actor de amenazas persistentes avanzadas (APT) de habla china previamente indocumentado apodado Drag\u00f3n Aoqin<\/strong> se ha relacionado con una serie de ataques orientados al espionaje dirigidos a entidades gubernamentales, educativas y de telecomunicaciones principalmente en el sudeste asi\u00e1tico y Australia que datan de 2013.<\/p>\n “Aoqin Dragon busca el acceso inicial principalmente a trav\u00e9s de vulnerabilidades de documentos y el uso de dispositivos extra\u00edbles falsos”, dijo Joey Chen, investigador de SentinelOne. dijo<\/a> en un informe compartido con The Hacker News. “Otras t\u00e9cnicas que se ha observado que usa el atacante incluyen el secuestro de DLL, Archivos llenos de Themida<\/a>y tunelizaci\u00f3n de DNS para evadir la detecci\u00f3n posterior al compromiso”.<\/p>\n Se dice que el grupo tiene cierto nivel de asociaci\u00f3n t\u00e1ctica con otro actor de amenazas conocido como Naikon (tambi\u00e9n conocido como Override Panda), con campa\u00f1as dirigidas principalmente contra objetivos en Australia, Camboya, Hong Kong, Singapur y Vietnam.<\/p>\n Las cadenas de infecciones montadas por Aoqin Dragon se han basado en asuntos pol\u00edticos de Asia-Pac\u00edfico y se\u00f1uelos de documentos con temas pornogr\u00e1ficos, as\u00ed como t\u00e9cnicas de acceso directo USB para desencadenar el despliegue de una de las dos puertas traseras: Mongall y una versi\u00f3n modificada de c\u00f3digo abierto. proyecto heyoka<\/a>.<\/p>\n Hasta 2015, esto implic\u00f3 aprovechar las vulnerabilidades de seguridad antiguas y sin parches (CVE-2012-0158<\/a> y CVE-2010-3333<\/a>) en los documentos se\u00f1uelo que fueron dise\u00f1ados para incitar a los objetivos a abrirlos. A lo largo de los a\u00f1os, el actor de amenazas ha evolucionado su enfoque para emplear cuentagotas ejecutables disfrazados de software antivirus de McAfee y Bkav para implementar el implante y conectarse a un servidor remoto.<\/p>\n “Aunque una variedad de actores han utilizado archivos ejecutables con iconos de archivos falsos, sigue siendo una herramienta eficaz, especialmente para los objetivos APT”, explic\u00f3 Chen. “Combinado con contenido de correo electr\u00f3nico ‘interesante’ y un nombre de archivo pegadizo, se puede dise\u00f1ar socialmente a los usuarios para que hagan clic en el archivo”.<\/p>\n Dicho esto, el vector de acceso inicial m\u00e1s nuevo elegido por Aoqin Dragon desde 2018 ha sido el uso de un archivo de acceso directo de dispositivo extra\u00edble falso (.LNK), que, cuando se hace clic, ejecuta un ejecutable (“RemovableDisc.exe”) enmascarado con el \u00edcono para el Evernote, la popular aplicaci\u00f3n para tomar notas, pero est\u00e1 dise\u00f1ada para funcionar como un cargador para dos cargas \u00fatiles diferentes.<\/p>\n Uno de los componentes de la cadena de infecci\u00f3n es un propagador que copia todos los archivos maliciosos a otros dispositivos extra\u00edbles y el segundo m\u00f3dulo es una puerta trasera encriptada que se inyecta en rundll32<\/a>la memoria, un proceso nativo de Windows<\/a> se utiliza para cargar y ejecutar archivos DLL.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/Fronton-botnet-ruso-de-IoT-disenado-para-ejecutar-campanas-de.png\")
<\/a><\/div>\n![\"Campa\u00f1a](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1654807336_994_Una-campana-de-espionaje-china-de-una-decada-tiene-como.jpg\" "\\"Campa\u00f1a")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n