Kampanye Spionase Tiongkok Selama Satu Dekade Menargetkan Asia Tenggara dan Australia

  • Bagikan
Chinese Espionage Campaign

Beritaini.top Kampanye Spionase Tiongkok Selama Satu Dekade Menargetkan Asia Tenggara dan Australia

Kampanye Spionase Tiongkok

Seorang aktor ancaman persisten tingkat lanjut (APT) berbahasa China yang sebelumnya tidak terdokumentasi dijuluki Naga Aoqin telah dikaitkan dengan serangkaian serangan berorientasi spionase yang ditujukan pada entitas pemerintah, pendidikan, dan telekomunikasi terutama di Asia Tenggara dan Australia sejak tahun 2013.

“Aoqin Dragon mencari akses awal terutama melalui eksploitasi dokumen dan penggunaan perangkat palsu yang dapat dilepas,” peneliti SentinelOne Joey Chen dikatakan dalam laporan yang dibagikan kepada The Hacker News. “Teknik lain yang telah diamati penyerang menggunakan termasuk pembajakan DLL, File yang dikemas dengan Themidadan tunneling DNS untuk menghindari deteksi pasca-kompromi.”

Kelompok ini dikatakan memiliki beberapa tingkat hubungan taktis dengan aktor ancaman lain yang dikenal sebagai Naikon (alias Override Panda), dengan kampanye yang terutama ditujukan terhadap target di Australia, Kamboja, Hong Kong, Singapura, dan Vietnam.

Keamanan cyber

Rantai infeksi yang dipasang oleh Aoqin Dragon telah memanfaatkan urusan politik Asia-Pasifik dan umpan dokumen bertema pornografi serta teknik pintasan USB untuk memicu penyebaran salah satu dari dua pintu belakang: Mongall dan versi modifikasi dari sumber terbuka Proyek Heyoka.

Hingga tahun 2015, ini melibatkan pemanfaatan eksploitasi untuk kerentanan keamanan lama dan belum ditambal (CVE-2012-0158 dan CVE-2010-3333) dalam dokumen umpan yang dirancang untuk menarik target agar membukanya. Selama bertahun-tahun, aktor ancaman telah mengembangkan pendekatannya untuk menggunakan dropper yang dapat dieksekusi yang menyamar sebagai perangkat lunak antivirus dari McAfee dan Bkav untuk menyebarkan implan dan terhubung ke server jarak jauh.

“Meskipun file yang dapat dieksekusi dengan ikon file palsu telah digunakan oleh berbagai aktor, itu tetap merupakan alat yang efektif terutama untuk target APT,” jelas Chen. “Dikombinasikan dengan konten email ‘menarik’ dan nama file yang menarik, pengguna dapat direkayasa secara sosial untuk mengklik file tersebut.”

Kampanye Spionase Tiongkok

Yang mengatakan, vektor akses awal terbaru pilihan Aoqin Dragon sejak 2018 adalah penggunaan file pintasan perangkat lepasan palsu (.LNK), yang, ketika diklik, menjalankan file yang dapat dieksekusi (“RemovableDisc.exe”) yang ditutupi dengan ikon untuk aplikasi pencatat populer Evernote tetapi direkayasa untuk berfungsi sebagai pemuat untuk dua muatan yang berbeda.

Salah satu komponen dalam rantai infeksi adalah penyebar yang menyalin semua file berbahaya ke perangkat lain yang dapat dilepas dan modul kedua adalah pintu belakang terenkripsi yang menyuntikkan dirinya ke dalam rundll32memori, a proses Windows asli digunakan untuk memuat dan menjalankan file DLL.

Keamanan cyber

Diketahui digunakan setidaknya sejak 2013, Mongall (“HJ-client.dll”) digambarkan sebagai implan yang “sangat kaya fitur” tetapi yang mengemas fitur yang cukup untuk membuat shell jarak jauh dan mengunggah dan mengunduh file arbitrer ke dan dari penyerang -kontrol server.

Juga digunakan oleh musuh adalah varian ulang dari Heyoka (“srvdll.dll”), alat eksfiltrasi proof-of-concept (PoC) “yang menggunakan permintaan DNS palsu untuk membuat terowongan dua arah.” Backdoor Heyoka yang dimodifikasi lebih kuat, dilengkapi dengan kemampuan untuk membuat, menghapus, dan mencari file, membuat dan menghentikan proses, dan mengumpulkan informasi proses pada host yang disusupi.

“Aoqin Dragon adalah kelompok spionase cyber aktif yang telah beroperasi selama hampir satu dekade,” kata Chen, menambahkan, “kemungkinan mereka juga akan terus memajukan keahlian mereka, menemukan metode baru untuk menghindari deteksi dan tinggal lebih lama di jaringan target mereka. .”

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.