Südostasiatische und australische Organisationen seit zehn Jahren im Visier der Aoqin Dragon-Hacker

  • Ein neuer Advanced Persistent Threat (APT)-Akteur mit dem Namen Aoqin Dragon, der Berichten zufolge in China ansässig ist, wurde seit 2013 mit mehreren Hackerangriffen auf Regierungs-, Bildungs- und Telekommunikationseinrichtungen vor allem in Südostasien und Australien in Verbindung gebracht.

    Die Nachricht stammt von dem Bedrohungsforscher Sentinel Labs, der am Donnerstag einen Blogbeitrag veröffentlichte, in dem er die zehn Jahre andauernden Ereignisse beschrieb.

    „Wir gehen davon aus, dass der Bedrohungsakteur in erster Linie Spionage betreibt und Ziele in Australien, Kambodscha, Hongkong, Singapur und Vietnam anvisiert“, schrieb Joey Chen, Threat Intelligence Researcher bei SentinelOne.

    Nach Angaben von Sentinel Labs setzt Aoqin Dragon vor allem auf Dokumentenköder, um Benutzer zu infizieren.

    „Es gibt drei interessante Punkte, die wir bei diesen Täuschungsdokumenten entdeckt haben“, schrieb Chen.

    „Erstens sind die meisten Lockvogelinhalte auf Zielpersonen ausgerichtet, die sich für politische Angelegenheiten in APAC interessieren. Zweitens nutzten die Akteure Köderdokumente mit pornografischen Themen, um die Zielpersonen zu ködern. Drittens sind die Dokumente in vielen Fällen nicht spezifisch für ein Land, sondern für ganz Südostasien.“

    Technisch gesehen nutzt die Malware einen Dokumentenexploit, der den Benutzer dazu verleitet, ein waffenfähiges Word-Dokument zu öffnen, um eine Hintertür zu installieren. Alternativ werden die Benutzer dazu verleitet, auf ein gefälschtes Antivirenprogramm zu doppelklicken, das die Malware auf dem Rechner des Opfers ausführt.

    Die Malware nutzt auch regelmäßig USB-Verknüpfungstechniken, um sich auf externen Geräten zu installieren und weitere Ziele zu infizieren. Sobald die Malware im System ist, wird sie über zwei Hintertüren ausgeführt.

    „Angriffe, die auf Aoqin Dragon zurückzuführen sind, nutzen in der Regel eine von zwei Hintertüren: Mongall und eine modifizierte Version des Open-Source-Projekts Heyoka“, erklärt Chen.

    Was die Zuordnung anbelangt, so stieß Sentinel Labs laut eigenen Angaben auf mehrere Artefakte, die die Aktivitäten mit einer chinesischsprachigen APT-Gruppe in Verbindung bringen, darunter Überschneidungen der Infrastruktur mit einem Hacking-Angriff auf die Website des Präsidenten von Myanmar im Jahr 2014.

    „Das Ziel von Aoqin Dragon steht in engem Zusammenhang mit den politischen Interessen der chinesischen Regierung“, so Chen.

    „In Anbetracht dieser langfristigen Bemühungen und der kontinuierlichen gezielten Angriffe in den letzten Jahren gehen wir davon aus, dass die Motive des Bedrohungsakteurs spionageorientiert sind.“

    Das Sentinel Labs Advisory schließt mit einer weiteren Warnung an die globale Cybersicherheit vor Aoqin Dragon.

    „Wir haben beobachtet, dass die Aoqin Dragon-Gruppe ihre TTPs mehrfach weiterentwickelt hat, um unter dem Radar zu bleiben. Wir gehen davon aus, dass Aoqin Dragon weiterhin Spionageoperationen durchführen wird. Darüber hinaus halten wir es für wahrscheinlich, dass sie ihre Methoden weiterentwickeln werden, um der Entdeckung zu entgehen und länger in ihrem Zielnetz zu bleiben.“

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com