Un acteur de menace persistante avancée (APT) parlant chinois auparavant sans papiers surnommé Dragon Aoqin a été lié à une série d’attaques à caractère d’espionnage visant des entités gouvernementales, éducatives et de télécommunications, principalement en Asie du Sud-Est et en Australie, remontant à 2013.

“Aoqin Dragon recherche un accès initial principalement par le biais d’exploits de documents et de l’utilisation de faux périphériques amovibles”, a déclaré Joey Chen, chercheur à SentinelOne. a dit dans un rapport partagé avec The Hacker News. “Les autres techniques utilisées par l’attaquant incluent le détournement de DLL, Fichiers remplis de Themidaet le tunneling DNS pour échapper à la détection post-compromis.”

Le groupe aurait un certain niveau d’association tactique avec un autre acteur menaçant connu sous le nom de Naikon (alias Override Panda), les campagnes étant principalement dirigées contre des cibles en Australie, au Cambodge, à Hong Kong, à Singapour et au Vietnam.

La cyber-sécurité

Les chaînes d’infections montées par Aoqin Dragon ont misé sur les affaires politiques de l’Asie-Pacifique et les leurres de documents à thème pornographique ainsi que sur les techniques de raccourci USB pour déclencher le déploiement de l’une des deux portes dérobées : Mongall et une version modifiée de l’open-source Projet Heyoka.

Jusqu’en 2015, cela impliquait de tirer parti des exploits pour les vulnérabilités de sécurité anciennes et non corrigées (CVE-2012-0158 et CVE-2010-3333) dans les documents leurres conçus pour inciter les cibles à les ouvrir. Au fil des ans, l’acteur de la menace a fait évoluer son approche pour utiliser des droppers exécutables se faisant passer pour des logiciels antivirus de McAfee et Bkav pour déployer l’implant et se connecter à un serveur distant.

“Bien que des fichiers exécutables avec de fausses icônes de fichiers aient été utilisés par divers acteurs, cela reste un outil efficace, en particulier pour les cibles APT”, a expliqué Chen. “Combinés à un contenu d’e-mail “intéressant” et à un nom de fichier accrocheur, les utilisateurs peuvent être socialement incités à cliquer sur le fichier.”

Campagne d'espionnage chinois

Cela dit, le plus récent vecteur d’accès initial d’Aoqin Dragon depuis 2018 est son utilisation d’un faux fichier de raccourci de périphérique amovible (.LNK), qui, lorsqu’il est cliqué, exécute un exécutable (“RemovableDisc.exe”) masqué avec l’icône du l’application de prise de notes populaire Evernote, mais est conçue pour fonctionner comme un chargeur pour deux charges utiles différentes.

L’un des composants de la chaîne d’infection est un diffuseur qui copie tous les fichiers malveillants sur d’autres périphériques amovibles et le second module est une porte dérobée cryptée qui s’injecte dans rundll32la mémoire, un processus Windows natif utilisé pour charger et exécuter des fichiers DLL.

La cyber-sécurité

Connu pour être utilisé depuis au moins 2013, Mongall (“HJ-client.dll”) est décrit comme un implant pas si “particulièrement riche en fonctionnalités” mais qui contient suffisamment de fonctionnalités pour créer un shell distant et télécharger des fichiers arbitraires vers et depuis l’attaquant -serveur de contrôle.

L’adversaire utilise également une variante retravaillée de Heyoka (“srvdll.dll”), un outil d’exfiltration de preuve de concept (PoC) “qui utilise des requêtes DNS usurpées pour créer un tunnel bidirectionnel”. La porte dérobée Heyoka modifiée est plus puissante, dotée de capacités pour créer, supprimer et rechercher des fichiers, créer et terminer des processus et recueillir des informations de processus sur un hôte compromis.

“Aoqin Dragon est un groupe de cyberespionnage actif qui opère depuis près d’une décennie”, a déclaré Chen, ajoutant, “il est probable qu’ils continueront également à faire progresser leur métier, en trouvant de nouvelles méthodes pour échapper à la détection et en restant plus longtemps dans leur réseau cible. .”



ttn-fr-57