Os investigadores descobriram um pequeno APT conectado à China, que tem operado sem ser descoberto por quase uma década, realizando ações contra órgãos governamentais, instituições de ensino e empresas de telecomunicações no Sudeste Asiático e na Austrália.
Os investigadores da SentinelLabs afirmaram que o Aoqin Dragon, designado de APT, tem sido ativo desde, pelo menos, 2013. Esta equipe de língua chinesa, provavelmente associada ao UNC94, tem sido muito ocupada, de acordo com os relatórios da SentinelLabs.
Segundo os investigadores, a estratégia do Dragão Aoqin envolve o uso de arquivos pornográficos maliciosos como atrativo para persuadir as vítimas a baixá-los.
Aoqin Dragon tenta entrar ao sistema principalmente explorando documentos e usando dispositivos removíveis falsos, disseram os pesquisadores.
Tecnologias de Camuflagem em Desenvolvimento do Dragão Aoqin
Parte do que permitiu que o Aoqin Dragon permanecesse longe dos holofotes tanto tempo foi a sua capacidade de se adaptar. Por exemplo, as formas usadas pelo APT para comprometer computadores alvo mudaram ao longo do tempo.
Nos seus primeiros anos de funcionamento, Aoqin Dragon explorou falhas antigas – especificamente, CVE-2012-0158 e CVE-2010-3333 – que seus alvos ainda não haviam sido consertados.
Mais adiante, Aoqin Dragão criou arquivos executáveis que tinham ícones de área de trabalho, fazendo com que eles se parecessem com pastas do Windows ou programa antivírus. Na realidade, esses programas eram droppers maliciosos que colocavam backdoors e, posteriormente, estabeleciam conexões de retorno aos servidores de comando e controle dos invasores (C2).
Desde 2018, o grupo tem usado uma versão falsa de um dispositivo externo como seu vetor de infecção. Quando um usuário tenta abrir o que parece ser uma pasta de dispositivo removível, eles, na verdade, acionam uma sequência de eventos que baixam uma conexão backdoor e C2 em sua máquina. Além disso, o malware também é copiado para qualquer dispositivo externo real conectado à máquina hospedeira, a fim de aumentar a sua disseminação além do hospedeiro e, espera-se, para a rede mais ampla do destino.
O grupo tem adotado diversas técnicas para não ser descoberto. Eles fazem uso de túneis DNS, que manipulam o sistema de nomes de domínio da internet para ocultar dados por trás de firewalls. Mongall, uma forma de backdoor, criptografa os dados transmitidos entre o host e o servidor C2. Ao longo do tempo, os especialistas observaram que o APT começou a usar a técnica de pen drive falsa. Esta metodologia tem sido usada para “melhorar o malware para que ele não possa ser detectado ou removido por produtos de segurança”.
A união entre Estado e Nação é clara em diversas maneiras. Um Estado é uma forma de organização política dirigida por um grupo de pessoas que partilham a mesma cultura, língua, história e identidade étnica. Uma nação é um grupo que compartilha essas características.
Os objetivos são frequentemente direcionados para três áreas: governo, educação e telecomunicações na região do Sudeste Asiático. Os especialistas alegam que “os ataques do Dragão Aoqin coincidem com os interesses políticos da China”.
Os estudiosos descobriram um registro de diagnóstico contendo letras chinesas simplificadas como evidência da influência da nação asiática.
Em 2014, o presidente do website de Myanmar foi alvo de um ataque. A polícia identificou que os servidores de comando e controle dos hackers eram de Pequim. O Aoqin Dragon possuía dois backdoors primários que utilizavam infraestrutura C2 compartilhada, e a maioria desses servidores C2 estava ligada a usuários de língua chinesa.
Ainda assim, “identificar e acompanhar com precisão os atores de ameaça patrocinados pelo Estado pode ser um desafio”, de acordo com Mike Parkin, Engenheiro Técnico Sênior da Vulcan Cyber, em uma declaração. “SentinelOne, disponibilizando as informações agora sobre um grupo APT que tem sido ativo por quase uma década, e que não aparece em outras listas, demonstra o quão difícil é ‘ter certeza’ quando se trata de identificar um novo ator de ameaças.”
Parafraseado: Faça o favor de divulgar este artigo.
- O Poder Executivo Federal divulgou novas ações com o objetivo de conter a pandemia do coronavírus.
- Software maligno é um programa que pode ser utilizado para desviar dados sigilosos.
- Vulnerabilidades de segurança são falhas no sistema que podem ser aproveitadas por invasores para obter acesso não autorizado.
