El equipo chino, Aoqin Dragon, lleva una década espiando a diferentes organizaciones
Un actor de amenazas de habla china previamente desconocido ha sido descubierto por los analistas de amenazas SentinelLabs que pudieron vincularlo con actividades maliciosas que se remontan a 2013.
Llamado Aoqin Dragon, el grupo de piratería se centra en el espionaje cibernético, dirigido a organizaciones gubernamentales, educativas y de telecomunicaciones con sede en Singapur, Hong Kong, Vietnam, Camboya y Australia.
Las técnicas del actor de amenazas han evolucionado a lo largo de los años, pero algunas tácticas y conceptos permanecen sin cambios.
Tácticas de intrusión e infección
Aoqin Dragon ha empleado tres cadenas de infección distintas desde que se detectó por primera vez, según SentinelLabs. El primero, utilizado entre 2012 y 2015, involucra documentos de Microsoft Office que explotan vulnerabilidades conocidas como CVE-2012-0158 y CVE-2010-3333.
Esta táctica fue detectada por FireEye en 2014 en una campaña de phishing dirigido por el grupo Naikon APT respaldado por China, dirigida a una entidad gubernamental de APAC y un grupo de expertos de EE. UU.
El segundo método de infección es enmascarar ejecutables maliciosos con íconos antivirus falsos, engañar a los usuarios para que los ejecuten y activar un cuentagotas de malware en sus dispositivos.
Desde 2018 hasta ahora, Aoqin Dragon ha recurrido al uso de un archivo de acceso directo de disco extraíble que, cuando se hace clic, realiza el secuestro de DLL y carga una carga útil cifrada de puerta trasera.
El malware se ejecuta con el nombre de “Aplicación Evernote Tray” y se ejecuta al iniciar el sistema. Si el cargador detecta dispositivos extraíbles, también copia la carga útil para infectar otros dispositivos en la red del objetivo.
Conjunto de herramientas del Dragón Aoqin
SentinelLabs ha identificado dos puertas traseras diferentes utilizadas por el grupo de amenazas en particular, Mongall y una versión modificada de Heyoka. Ambos son DLL que se inyectan en la memoria, se descifran y se ejecutan.
Mongall ha estado en desarrollo desde al menos 2013, y las versiones recientes cuentan con un protocolo de encriptación actualizado y un envoltorio de Themida diseñado para protegerlo contra la ingeniería inversa.
Su propósito principal es perfilar el host y enviar los detalles al servidor C2 usando un canal encriptado, pero también es capaz de realizar acciones de archivo y ejecutar shell.
La otra puerta trasera, Heyoka , es una herramienta de exfiltración de código abierto que utiliza solicitudes de DNS falsificadas para crear un túnel de comunicación bidireccional.
Usan esta herramienta cuando copian archivos de dispositivos comprometidos para dificultar que los defensores detecten la actividad de robo de datos del grupo.
Los desarrolladores de malware de Aoqin Dragon han modificado Heyoka para crear una puerta trasera personalizada compatible con los siguientes comandos:
- abrir una concha
- obtener información de la unidad de host
- función de búsqueda de archivos
- datos de entrada en un archivo de salida
- crear un archivo
- crear un proceso
- obtener toda la información del proceso en este host
- proceso de matanza
- crear una carpeta
- borrar archivo o carpeta
La herramienta exfil también viene con dos direcciones de servidor de comando y control (C2) codificadas para redundancia, también utilizadas por Mongall, por lo que hay una superposición en la infraestructura principal del grupo.
“Según nuestro análisis de los objetivos, la infraestructura y la estructura de malware de las campañas de Aoqin Dragon, evaluamos con confianza moderada que el actor de la amenaza es un pequeño equipo de habla china con una asociación potencial con el grupo Naikon APT, además de UNC94”, dijo SentinelLabs. .
panorama
Aoqin Dragon logró permanecer en las sombras durante una década, con solo partes de su operación apareciendo en informes más antiguos [ PDF ] de empresas de seguridad cibernética.
El grupo ha logrado esto mediante la evolución continua de sus técnicas y el cambio de tácticas, lo que probablemente volverá a suceder después de la exposición que obtuvo después del informe de SentinelLabs.
Teniendo en cuenta que sus actividades se alinean con los intereses políticos del gobierno chino, es casi seguro que Aoqin Dragon continuará con sus operaciones de ciberespionaje, mejorando su evasión de detección y cambiando a nuevas tácticas de evasión.
Fuente: bleepingcomputer.