Ein bisher nicht dokumentierter chinesischsprachiger APT-Akteur mit dem Namen Aoqin Dragon wurde mit einer Reihe von Spionageangriffen auf Regierungs-, Bildungs- und Telekommunikationseinrichtungen vor allem in Südostasien und Australien in Verbindung gebracht, die bis ins Jahr 2013 zurückreichen.
„Aoqin Dragon verschafft sich vor allem durch das Ausnutzen von Dokumenten und die Verwendung von gefälschten Wechseldatenträgern Zugang“, so SentinelOne-Forscher Joey Chen in einem Bericht an The Hacker News. „Zu den anderen Techniken, die der Angreifer anwendet, gehören DLL-Hijacking, Themida-gepackte Dateien und DNS-Tunneling, um die Erkennung nach der Kompromittierung zu umgehen.
Es wird vermutet, dass die Gruppe in gewissem Maße mit einem anderen Bedrohungsakteur namens Naikon (auch bekannt als Override Panda) verbunden ist und ihre Kampagnen hauptsächlich gegen Ziele in Australien, Kambodscha, Hongkong, Singapur und Vietnam gerichtet sind.
Die Infektionsketten von Aoqin Dragon setzten auf politische Angelegenheiten im asiatisch-pazifischen Raum, pornografische Dokumente und USB-Verknüpfungstechniken, um eine von zwei Backdoors zu installieren: Mongall und eine modifizierte Version des Open-Source-Projekts Heyoka.
Dabei wurden alte und ungepatchte Sicherheitslücken (CVE-2012-0158 und CVE-2010-3333) ausgenutzt, wobei die Täuschungsdokumente die Zielpersonen dazu verleiteten, die Dateien zu öffnen. Im Laufe der Jahre setzte der Bedrohungsakteur auch ausführbare Dropper ein, die sich als Antivirensoftware ausgaben, um das Implantat zu verteilen und eine Verbindung zu einem Remote-Server herzustellen.
„Obwohl ausführbare Dateien mit gefälschten Dateisymbolen von verschiedenen Akteuren verwendet werden, sind sie nach wie vor ein effektives Mittel, insbesondere für APT-Ziele“, erklärt Chen. „Kombiniert mit ‚interessanten‘ E-Mail-Inhalten und einem einprägsamen Dateinamen können die Nutzer dazu gebracht werden, auf die Datei zu klicken“.
Der neueste Einstiegsvektor von Aoqin Dragon ist seit 2018 eine gefälschte Verknüpfungsdatei für Wechseldatenträger (.LNK), die beim Anklicken eine ausführbare Datei („RemovableDisc.exe“) ausführt, die das Symbol der beliebten Notiz-App Evernote trägt, aber als Ladeprogramm für zwei verschiedene Nutzdaten fungiert.
Eine der Komponenten in der Infektionskette ist ein Spreader, der alle bösartigen Dateien auf andere Wechseldatenträger kopiert, und das zweite Modul ist eine verschlüsselte Backdoor, die sich in den Speicher von rundll32 einschleust, einem nativen Windows-Prozess, der zum Laden und Ausführen von DLL-Dateien verwendet wird.
Mongall („HJ-client.dll“) ist seit mindestens 2013 bekannt und wird als nicht besonders funktionsreiches Implantat beschrieben, aber es bietet genug Funktionen, um eine Remote-Shell zu erstellen und beliebige Dateien auf den vom Angreifer kontrollierten Server hoch- und herunterzuladen.
Außerdem verwendet der Angreifer eine überarbeitete Variante von Heyoka („srvdll.dll“), einem Proof-of-Concept (PoC) Exfiltrationstool, das „gefälschte DNS-Anfragen verwendet, um einen bidirektionalen Tunnel zu erstellen“. Die modifizierte Heyoka-Backdoor ist leistungsfähiger und verfügt über die Fähigkeit, Dateien zu erstellen, zu löschen und zu suchen, Prozesse zu erstellen und zu beenden und Prozessinformationen auf einem kompromittierten Host zu sammeln.
„Aoqin Dragon ist eine aktive Cyberspionagegruppe, die seit fast einem Jahrzehnt aktiv ist“, sagte Chen und fügte hinzu: „Es ist wahrscheinlich, dass sie ihre Methoden weiterentwickeln und neue Methoden finden, um der Entdeckung zu entgehen und länger in ihrem Zielnetzwerk zu bleiben.“