APT mit China-Bezug flog zehn Jahre lang unter dem Radar

  • Es gibt Hinweise darauf, dass ein gerade entdeckter APT seit 2013 aktiv ist.

    Forscher haben eine kleine, aber wirkungsvolle, mit China verbundene APT identifiziert, die fast ein Jahrzehnt lang unter dem Radar geblieben ist und Kampagnen gegen Regierungs-, Bildungs- und Telekommunikationsorganisationen in Südostasien und Australien durchgeführt hat.

    Forscher von SentinelLabs sagten, dass der APT, den sie Aoqin Dragon nannten, mindestens seit 2013 aktiv ist. Die APT ist „ein kleines chinesischsprachiges Team mit potenzieller Verbindung zu [an APT called] UNC94“, berichteten sie.

    Die Forscher sagen, dass eine der Taktiken und Techniken von Aoqin Dragon darin besteht, pornografische Dokumente als Köder zu verwenden, um die Opfer zum Herunterladen zu verleiten.

    „Aoqin Dragon verschafft sich den ersten Zugang vor allem durch die Ausnutzung von Dokumenten und die Verwendung gefälschter Wechseldatenträger“, schreiben die Forscher.

    Aoqin Dragons sich entwickelnde Stealth-Taktiken

    Dass Aoqin Dragon so lange unter dem Radar blieb, liegt auch daran, dass sie sich weiterentwickelt haben. So haben sich beispielsweise die Mittel, mit denen die APT die Zielcomputer infiziert, weiterentwickelt.

    In den ersten Jahren ihrer Tätigkeit verließ sich Aoqin Dragon auf die Ausnutzung alter Schwachstellen – insbesondere CVE-2012-0158 und CVE-2010-3333 -, die ihre Ziele möglicherweise noch nicht gepatcht hatten.

    Später erstellte Aoqin Dragon ausführbare Dateien mit Desktop-Symbolen, die den Anschein erweckten, dass sie wie Windows-Ordner oder Antiviren-Software aussehen. Bei diesen Programmen handelte es sich in Wirklichkeit um bösartige Dropper, die Hintertüren einschleusten und dann Verbindungen zurück zu den Command-and-Control-Servern (C2) der Angreifer herstellten.

    Seit 2018 nutzt die Gruppe einen gefälschten Wechseldatenträger als Infektionsvektor. Wenn ein Benutzer darauf klickt, um einen scheinbaren Wechseldatenträger-Ordner zu öffnen, löst er in Wirklichkeit eine Kettenreaktion aus, die eine Backdoor und eine C2-Verbindung auf seinen Computer herunterlädt. Darüber hinaus kopiert sich die Malware auf alle tatsächlich mit dem Host-Rechner verbundenen Wechseldatenträger, um sich über den Host hinaus und hoffentlich auch in das Netzwerk des Ziels zu verbreiten.

    Die Gruppe hat andere Techniken eingesetzt, um nicht aufzufallen. Sie hat DNS-Tunneling eingesetzt – die Manipulation des Internet-Domänennamensystems, um Daten an Firewalls vorbei zu schleusen. Eine Hintertür – bekannt als Mongall – verschlüsselt die Kommunikationsdaten zwischen Host und C2-Server. Mit der Zeit, so die Forscher, begann die APT, die Technik des gefälschten Wechseldatenträgers langsam auszubauen. Dies geschah, um „die Malware so abzustufen, dass sie von Sicherheitsprodukten nicht entdeckt und entfernt werden kann.“

    Nationalstaatliche Links

    Die Ziele fallen in der Regel in einige wenige Bereiche – Regierung, Bildung und Telekommunikation, alle in und um Südostasien. Die Forscher behaupten, dass „die Ziele von Aoqin Dragon eng mit den politischen Interessen der chinesischen Regierung übereinstimmen“.

    Ein weiterer Beweis für den Einfluss Chinas ist ein von den Forschern gefundenes Debug-Protokoll, das vereinfachte chinesische Schriftzeichen enthält.

    Vor allem aber wiesen die Forscher auf einen sich überschneidenden Angriff auf die Website des Präsidenten von Myanmar im Jahr 2014 hin. In diesem Fall verfolgte die Polizei die Befehls- und Kontroll- und Mailserver der Hacker nach Peking. Die beiden primären Hintertüren von Aoqin Dragon „haben eine sich überschneidende C2-Infrastruktur“ und „die meisten C2-Server können chinesischsprachigen Benutzern zugeordnet werden“.

    Dennoch „kann es eine Herausforderung sein, staatliche und staatlich geförderte Bedrohungsakteure richtig zu identifizieren und zu verfolgen“, schrieb Mike Parkin, Senior Technical Engineer bei Vulcan Cyber, in einer Erklärung. Die Tatsache, dass SentinelOne jetzt Informationen über eine APT-Gruppe veröffentlicht, die offenbar seit fast einem Jahrzehnt aktiv ist und nicht in anderen Listen auftaucht, zeigt, wie schwierig es sein kann, „sicher zu sein“, wenn man einen neuen Bedrohungsakteur identifiziert.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com