I ricercatori di sicurezza di SentinelOne hanno analizzato le operazioni di un gruppo di cyber-spionaggio cinese che, almeno dal 2013, ha preso attivamente di mira organizzazioni del settore dell’istruzione, del governo e delle telecomunicazioni in Australia e nel sud-est asiatico.
Soprannominato Aoqin Dragon, il gruppo è passato dall’uso di documenti dannosi all’impiego di un falso antivirus e, più recentemente, all’utilizzo di una falsa unità rimovibile per indurre le vittime a installare malware sui loro sistemi.
Secondo SentinelOne, l’attore della minaccia si affida molto alla tecnica del collegamento USB per infettare altri bersagli. Il gruppo di solito rilascia una delle due backdoor su un sistema compromesso, ovvero Mongall o una variante modificata di Heyoka.
Secondo SentinelOne, l’attività in corso di Aoqin Dragon si è concentrata principalmente sullo spionaggio di organizzazioni in Australia, Cambogia, Hong Kong, Singapore e Vietnam.
Tra il 2012 e il 2015, ha preso di mira le vittime principalmente con documenti dannosi che sfruttavano i bug CVE-2012-0158 e CVE-2010-3333. Sebbene le patch per questi bug fossero state rilasciate prima dei tentativi di sfruttamento di Aoqin Dragon, “questo tipo di esca per la gestione delle vulnerabilità RTF era molto comune in quel periodo“, osserva SentinelOne.
Gli aggressori hanno utilizzato temi pornografici per attirare le vittime ad aprire i documenti dannosi, hanno incluso nella maggior parte dei documenti contenuti di esca a tema politico APAC e hanno utilizzato documenti specifici per tutto il sud-est asiatico.
Aoqin Dragon ha anche utilizzato file eseguibili che presentavano icone di file modificate per sembrare cartelle di Windows o applicazioni antivirus, ma che invece rilasciavano una backdoor nel sistema della vittima.
Il dropper eseguibile conteneva in genere uno script progettato per cercare nel sistema documenti Microsoft Word. Il dropper agiva anche come worm, abusando di dispositivi rimovibili per diffondere il malware ad altri host.
Nelle campagne più recenti, la catena di attacco prevede un file di collegamento su disco rimovibile che porta all’esecuzione del malware. Il dirottamento della DLL viene utilizzato per eseguire un loader dannoso come explorer.exe.
Il loader controlla quindi la presenza di dispositivi rimovibili collegati, copia i moduli malware nella cartella AppData e imposta la funzione di avvio automatico sulla posizione dei file maligni, in modo che il loader venga eseguito al riavvio del sistema.
Il caricatore decodifica quindi due payload, ovvero un diffusore progettato per copiare tutti i file dannosi sulle unità rimovibili e una backdoor crittografata che si inietta nel processo rundll32.
I ricercatori di sicurezza hanno identificato diverse versioni di Mongall, una piccola backdoor che l’attore delle minacce utilizza dal 2013. La minaccia è stata progettata per creare una shell remota e per scaricare e caricare file, e utilizza il protocollo GET per la trasmissione dei dati.
Aoqin Dragon è stato anche osservato mentre utilizzava una versione modificata di Heyoka, un progetto open source progettato per l’esfiltrazione dei dati attraverso richieste DNS spoofate che creano un tunnel bidirezionale. Le cyberspie distribuiscono questo strumento sul sistema della vittima utilizzando l’iniezione di DLL.
Gli autori del malware hanno anche ampliato le capacità del progetto e vi hanno aggiunto due server di comando e controllo (C&C) codificati. Dotata delle stesse capacità di Mongall, la backdoor controlla anche se viene eseguita come servizio o meno, per assicurarsi di avere i privilegi per essere persistente.
“L’obiettivo di Aoqin Dragon è strettamente legato agli interessi politici del governo cinese. Considerando questo sforzo a lungo termine e i continui attacchi mirati degli ultimi anni, riteniamo che le motivazioni dell’attore della minaccia siano orientate allo spionaggio“, osserva SentinelOne.
