0
0
Uma das principais características de um grupo de ameaças persistentes avançadas (APT) é sua capacidade de operar sem ser detectado por anos enquanto realiza sua missão específica.
O exemplo mais recente é “Aoqin Dragon”, um ator da APT com sede na China que os pesquisadores da SentinelOne descobriram recentemente que espionou organizações em vários países nos últimos 10 anos. A principal missão do grupo parece ser a espionagem cibernética, e seus alvos incluíram organizações dos setores do governo, telecomunicações e educação na Austrália, Camboja, Hong Kong, Cingapura e Vietnã.
Em sua análise dos alvos do ator de ameaça, SentinelOne disse que a infraestrutura e o malware mostram que o grupo provavelmente compreende uma pequena equipe de língua chinesa com possíveis ligações a um adversário que Mandiant vem rastreando há algum tempo como UNC94. O alvo de Aoqin Dragon sugere que seus interesses estão alinhados com os do governo chinês, embora a SentinelOne não tenha conseguido confirmar isso.
Em um relatório na semana passada, a SentinelOne disse que foi capaz de identificar a atividade do Aoqin Dragon que remonta a pelo menos 2013 e continua até hoje. Durante esse período, o ator de ameaças — como outros grupos APT — tem trabalhado e ajustado constantemente suas táticas, técnicas e procedimentos (TTPs), disse SentinelOne.
Nos estágios iniciais, o Aoqin Dragon dependia muito de explorações direcionadas a algumas vulnerabilidades antigas da Microsoft (CVE-2012-0158 e CVE-2010-3333) para comprometer as metas. Mais tarde, o grupo começou a usar várias iscas de documentos para tentar infectar sistemas alvo. As iscas incluíam documentos com temas políticos pertencentes à região da Ásia-Pacífico e conteúdo com temas pornográficos. Os indivíduos que se apaixonaram por essas iscas foram infectados com uma porta dos fundos chamada Mongall, ou às vezes com uma versão modificada do Heyoka, uma ferramenta baseada em uma prova de conceito de código aberto para exfiltrar dados de sistemas comprometidos por meio de tunelamento DNS.
De acordo com o SentinelOne, Mongall não é especialmente rico em recursos. Mesmo assim, é eficaz e pode criar um shell remoto para fazer upload de arquivos de uma máquina infectada para os servidores de comando e controle do invasor (C2). O malware incorpora três servidores C2 em seu código, tornando-o perigoso, disse SentinelOne.
Tática Raramente Usada
Desde pelo menos 2018, o Aoqin Dragon tem usado dispositivos removíveis falsos – além de suas explorações usuais de documentos – como um vetor para obter acesso inicial aos sistemas de destino. Em ataques cibernéticos envolvendo dispositivos removíveis, o SentinelOne observou o ator de ameaça colocando um arquivo de atalho de disco removível em um sistema comprometido. Quando clicado, o arquivo inicia uma sequência de atividade que termina com um carregador malicioso sendo colocado no sistema.
Joey Chen, pesquisador de inteligência contra ameaças da SentinelOne, diz que o uso de um dispositivo removível por Aoqin Dragon para acesso inicial é digno de nota porque poucos atores usam a abordagem nos dias de hoje. Em vez de um dispositivo removível físico real – como um USB ou DVD – os atores de ameaças têm tentado atrair os usuários a clicar em um arquivo de atalho de disco removível malicioso forjado para se parecer com um dispositivo removível normal.
“O arquivo de atalho USB contém um caminho específico para executar o aplicativo Evernote Tray e usar o sequestro de DLL para carregar o carregador malicioso encrashrep.dll como explorer.exe”, diz Chen. “A vantagem de usar um dispositivo removível como vetor de acesso inicial é que os arquivos maliciosos não precisam pousar na máquina host da vítima.”
Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, diz que o uso de dispositivos removíveis falsos para acesso inicial pode ser muito eficaz, mas nunca foi o vetor de ataque mais comum.
“Houve um tempo em que deixar pen drives USB, DVDs e CD-ROMs infectados era uma técnica comum de teste de penetração que imitava o que viamos atores de ameaças fazendo na natureza”, diz ele. “Download e montagem de um arquivo ISO é a mesma ideia, apenas totalmente baseada em arquivos.”
Para os atores de ameaças, dispositivos removíveis são outra ferramenta que eles podem implantar para infectar seus alvos, diz Parkin.
“Se a vítima puder ser sedução a baixar e lançar o malware, o atacante conseguiu contornar a necessidade de violar as defesas externas”, diz ele. “A vítima fez isso por eles.”
Vários dos TTPs do Aoqin Dragon — como o sequestro de DLL e o tunelamento de DNS para evitar a detecção — são semelhantes aos que outros atores de ameaças usam, diz Chen. No entanto, o uso de dispositivos removíveis pelo ator de ameaça como vetor de acesso inicial é um pouco diferente.
“Além disso, todo o módulo de propagação e o módulo de instalação do malware são todos escritos pelos próprios atores”, diz ele. Isso tornou mais difícil para os sistemas típicos de proteção de terminais detectarem o malware, observa ele.
Benjamin Read, diretor de análise de espionagem cibernética da Mandiant Threat Intelligence, descreve a UNC94 — o grupo que a SentinelOne acredita estar ligado ao Aoqin Dragon — como um grupo de suspeitas de atividades chinesas que operam com TTPs distintos. “Eles estão ativos desde pelo menos 2013, e potencialmente anteriores. O grupo foi observado visando instituições de alta tecnologia, governamentais e financeiras”, diz Read.
Com base no relatório inicial do SentinelOne, a atividade que ele rastreou sob o Aoqin Dragon parece estar alinhada com a UNC94. “Mas atualmente não temos dados suficientes para confirmar a sobreposição completa”, diz ele.
FONTE: DARK READING