Eine jahrzehntelange chinesische Spionagekampagne zielt auf Südostasien und Australien

  • Ein bisher nicht dokumentierter chinesischsprachiger APT-Akteur mit dem Namen Aoqin Dragon wurde mit einer Reihe von Spionageangriffen auf Regierungs-, Bildungs- und Telekommunikationseinrichtungen vor allem in Südostasien und Australien in Verbindung gebracht, die bis ins Jahr 2013 zurückreichen.

    „Aoqin Dragon versucht, sich in erster Linie über die Ausnutzung von Dokumenten und die Verwendung von gefälschten Wechseldatenträgern Zugang zu verschaffen“, so SentinelOne-Forscher Joey Chen in einem Bericht, der The Hacker News vorliegt. „Andere Techniken, die der Angreifer anwendet, sind DLL-Hijacking, mit Themida gepackte Dateien und DNS-Tunneling, um die Erkennung nach der Kompromittierung zu umgehen.

    Es wird vermutet, dass die Gruppe in gewissem Maße mit einem anderen Bedrohungsakteur namens Naikon (auch bekannt als Override Panda) in Verbindung steht. Ihre Kampagnen richten sich hauptsächlich gegen Ziele in Australien, Kambodscha, Hongkong, Singapur und Vietnam.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEi_-K3ujJyseNaosNnhLT4kFwMqa3p3tEEUrubFuVeYgwn0KI3SbSYTIZpiktTIVa2fAtNtsXxtix7QrtE4ZP5vNRmHFD4qrBGj0olqnOsSI7I6VySy7YwG9Z1NKO-AoIqFnhnEuJnxKmWpusTa_42jRCTAeeHJ-BR872VkdtpWd6NZszi8te5rgBL1tg/s1600/SOC2-ads.png]

    Die von Aoqin Dragon aufgebauten Infektionsketten setzten auf politische Angelegenheiten im asiatisch-pazifischen Raum und pornografische Dokumente sowie auf USB-Verknüpfungstechniken, um eine von zwei Hintertüren zu installieren: Mongall und eine modifizierte Version des Open-Source-Projekts Heyoka.

    Dabei wurden alte und ungepatchte Sicherheitslücken (CVE-2012-0158 und CVE-2010-3333) ausgenutzt, wobei die Lockvogel-Dokumente die Zielpersonen zum Öffnen der Dateien verleiteten. Im Laufe der Jahre setzte der Bedrohungsakteur auch ausführbare Dropper ein, die sich als Antiviren-Software ausgaben, um das Implantat einzusetzen und eine Verbindung zu einem Remote-Server herzustellen.

    „Obwohl ausführbare Dateien mit gefälschten Dateisymbolen von einer Vielzahl von Akteuren verwendet wurden, sind sie nach wie vor ein effektives Werkzeug, insbesondere für APT-Ziele“, erklärte Chen. „Kombiniert mit ‚interessantem‘ E-Mail-Inhalt und einem einprägsamen Dateinamen können Benutzer dazu gebracht werden, auf die Datei zu klicken.“

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEimnjl-Gy2EJZ3R9vL99RHfhTsboA8UgDxcZBYmox7pOu3fMPSz7g-s9V77BTnIPyDOmFhUmLi0H8ShxY2pR5AVbXiR8QVzdZC5W_y4QgJPO3Xi6A1MrLaxYBkoDdgTXDFMqB59bRnoPj5h_yAGHVLz7yetxauPq9_A5prtDDtFbSaI5UeNpTvw-6bP/s728-e1000/labs.jpg]

    Der neueste Einstiegsvektor von Aoqin Dragon ist seit 2018 die Verwendung einer gefälschten Verknüpfungsdatei für Wechseldatenträger (.LNK), die beim Anklicken eine ausführbare Datei („RemovableDisc.exe“) ausführt, die das Symbol der beliebten Notiz-App Evernote trägt, aber so konstruiert ist, dass sie als Ladeprogramm für zwei verschiedene Nutzlasten fungiert.

    Eine der Komponenten in der Infektionskette ist ein Spreader, der alle bösartigen Dateien auf andere Wechseldatenträger kopiert, und das zweite Modul ist eine verschlüsselte Backdoor, die sich in den Speicher von rundll32 einschleust, einem nativen Windows-Prozess, der zum Laden und Ausführen von DLL-Dateien verwendet wird.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ/s1600/crowdsec-728.jpg]

    Mongall („HJ-client.dll“) ist seit mindestens 2013 bekannt und wird als ein Implantat beschrieben, das zwar nicht besonders funktionsreich ist, aber genug Funktionen bietet, um eine Remote-Shell zu erstellen und beliebige Dateien auf den vom Angreifer kontrollierten Server hoch- und herunterzuladen.

    Außerdem verwendet der Angreifer eine überarbeitete Variante von Heyoka („srvdll.dll“), einem Proof-of-Concept (PoC) Exfiltrationstool, das „gefälschte DNS-Anfragen verwendet, um einen bidirektionalen Tunnel zu erstellen“. Die modifizierte Heyoka-Backdoor ist leistungsfähiger und verfügt über Funktionen zum Erstellen, Löschen und Suchen von Dateien, zum Erstellen und Beenden von Prozessen sowie zum Sammeln von Prozessinformationen auf einem kompromittierten Host.

    „Aoqin Dragon ist eine aktive Cyberspionage-Gruppe, die seit fast einem Jahrzehnt aktiv ist“, sagte Chen und fügte hinzu: „Es ist wahrscheinlich, dass sie auch weiterhin ihr Handwerk verbessern und neue Methoden finden, um der Entdeckung zu entgehen und länger in ihrem Zielnetzwerk zu bleiben.“

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com