Kinesisk hackinggruppe Aoqin Dragon spionerede uopdaget i et årti

En tidligere ukendt kinesisktalende trusselsaktør er blevet opdaget af trusselsanalytikere fra SentinelLabs, der var i stand til at forbinde det med ondsindet aktivitet, der går så langt tilbage som 2013.

I en tid hvor Kina er under alvorlige anklager for både server spionage med Lenovo, HIKVISION og DAHUA samt de mere kendte HUAWEI samt samtlige kendte nyhedsmedier, sociale portaler og enhver software med kryptering står Kina nu tilbage med endnu en væsentlig anklage. Derudover er den almindelige religionsmæssige ytringsfrihed nu indskrænket, man anholder i stor stil kristne præster for at forstyrre den offentlige orden og i et kendt eksempel fra juleaften 2021 blev arresterede det kinessiske politi Early Rain Covenant Church Elder Li Yingqiang i en lang række af tidligere og efterfølgende arrestationer.

Industrispionage

Nogle af de farligste statsstøttede hackere er dog dem der ikke bliver opdaget. Det er dem der ikke kræver løsesum, ligesom Ransomware hackere. Det kan ofte i flere årtier være gemt og have fundet sikkerhedshuller i software, men aldrigt rapporteret dette, ligesom WhiteHack hackere gør.

En af dem er navngivet Aoqin Dragon. Aoqin kan oversættes til Åh Kære, altså “Åh Kære Drage”. Hackinggruppen er simpelt fokuseret på cyberspionage, rettet mod regeringer, uddannelser og telekommunikationsorganisationer. Aoqin har baser i Singapore, Hong Kong, Vietnam, Cambodja, og Australien.

Trusselsaktørens teknikker har udviklet sig gennem årene, men nogle taktikker og koncepter forbliver uændrede. Hvorfor ændre på noget når man ikke bliver opdaget?

Seneste infektionskæde brugt af Aoqin Dragon (SentinelLabs)

Infektions taktik

Aoqin Dragon har ansat tre forskellige infektionskæder, siden den først blev set, ifølge SentinelLabs.

Den tidligste, der blev brugt mellem 2012 og 2015, involverer Microsoft https://www.fireeye.com/blog/threat-research/2014/03/spear-phishing-the-news-cycle-apt-actors-leverage-interest-in-the-disappearance-of-malaysian-flight-mh-370.html Office-dokumenter, der udnytter kendte sårbarheder som CVE-2012-0158 og CVE-2010-3333.

Denne taktik blev opdaget af FireEye i 2014 i en spyd-phishing-kampagne koordineret af den kinesisk-støttede Naikon APT-gruppe, rettet mod en APAC-regeringsenhed og en amerikansk tænketank.

Den anden infektion metode er maskering ondsindede eksekverbare filer med falske anti-virus ikoner, narre brugerne til at lancere dem, og aktivere en malware dropper på deres enheder.

Fra 2018 til nu har Aoqin Dragon dog vendt sig til at bruge en flytbar diskgenvejsfil, der, når der klikkes på, udfører DLL-kapring og indlæser en krypteret bagdørsnyttelast.

Malwaren kører under navnet “Evernote Tray Application” og udføres ved systemstart. Hvis læsseren registrerer flytbare enheder, kopierer den også nyttelasten for at inficere andre enheder på målets netværk.

Seneste infektionskæde brugt af Aoqin Dragon (SentinelLabs)

Aoqin Dragons værktøjssæt

SentinelLabs har identificeret to forskellige bagdøre, der bruges af den særlige trusselsgruppe, Mongall og en modificeret version af Heyoka. Begge er DLL’er, der injiceres i hukommelsen, dekrypteres og udføres.

Mongall har været under udvikling siden mindst 2013, og nyere versioner har en opgraderet krypteringsprotokol og Themida-indpakning designet til at beskytte den mod reverse engineering.

Dens primære formål er at profilere værten og sende detaljerne til C2-serveren ved hjælp af en krypteret kanal, men den er også i stand til at udføre filhandlinger og udføre shell.

Den anden bagdør, Heyoka, er et open source-eksfiltreringsværktøj, der bruger forfalskede DNS-anmodninger til at oprette en tovejs kommunikationstunnel.

De bruger dette værktøj, når de kopierer filer fra kompromitterede enheder for at gøre det sværere for forsvarere at opdage gruppens datatyveriaktivitet.

Aoqin Dragons malware-udviklere har ændret Heyoka for at oprette en brugerdefineret bagdør med understøttelse af følgende kommandoer:

  • åbn en skal
  • få oplysninger om værtsdrev
  • søge fil funktion
  • indtaste data i en afslutningsfil
  • oprette en fil
  • oprette en proces
  • få alle procesoplysninger i denne vært
  • dræbe proces
  • opret en mappe
  • slet fil eller mappe

Exfil-værktøjet leveres også med to hardcodede kommando-og-kontrol-serveradresser (C2) til redundans, der også bruges af Mongall, så der er et overlap i gruppens primære infrastruktur.

“Baseret på vores analyse af målene, infrastruktur og malware-struktur af Aoqin Dragon-kampagner, vurderer vi med moderat tillid, at trusselsaktøren er et lille kinesisktalende team med potentiel tilknytning til Naikon APT-gruppen, ud over UNC94,”

sagde SentinelLabs.

Outlook

Aoqin Dragon formåede at forblive i skyggerne i et årti, hvor kun dele af dets drift dukkede op i ældre rapporter [PDF] fra cybersikkerhedsfirmaer.

Gruppen har opnået dette ved løbende at udvikle sine teknikker og ændre taktik, hvilket sandsynligvis vil ske igen efter den eksponering, den fik efter SentinelLabs ‘rapport.

I betragtning af at dets aktiviteter er i overensstemmelse med den kinesiske regerings politiske interesser, er det næsten sikkert, at Aoqin Dragon vil fortsætte sine cyberspionageoperationer, forbedre sin afsløringsundgåelse og skifte til nye unddragelsestaktikker.

Kilde: Bleeping Computer
Foto: Pexels og de herover angivne.