Malware Aoquin Dragon ha espiado organizaciones por 10 años
AS-057-2022
Fecha: 10/Jun/2022
Resumen:
El Malware Aoquin Dragón, recientemente descubierto se lo ha vinculado a China. Éste ha sido utilizado para espiar silenciosamente a las organizaciones durante 10 años. Aoqin Dragon es un actor de amenazas que SentinelLabs ha estado rastreando ampliamente, ha operado desde 2013 apuntando a organizaciones gubernamentales, educativas y de telecomunicaciones en el sudeste asiático y Australia.
Técnicas y tácticas del Malware.
Aoqin Dragon confía en gran medida en la técnica de secuestro de DLL para comprometer objetivos y ejecutar el malware de su elección. Esto incluye su nuevo cargador de malware, la puerta trasera Mongall y una puerta trasera Heyoka modificada.
La lógica de inyección de código es idéntica a la del libro WINDOWS黑客编程技术详解(Explicación de las técnicas de programación de piratería de Windows), Capítulo 4, Sección 3, que describe cómo usar la memoria para ejecutar directamente un archivo DLL. También se encontró el mismo código en GitHub. Una cadena de depuración dentro del cargador de prueba de DLL, proporciona más evidencia de que ésta es la fuente del código en el malware.
Imagen Nro. 1 Código en GitHub
El actor de amenazas desarrolló archivos ejecutables enmascarados con íconos de archivos de documentos, como carpetas de Windows e íconos de proveedores de antivirus, que actúan como cuentagotas para ejecutar una puerta trasera y conectarse al servidor C2. Aunque una variedad de actores han utilizado archivos ejecutables con iconos de archivos falsos, sigue siendo una herramienta eficaz, especialmente para los objetivos APT. Combinado con contenido de correo electrónico "interesante" y un nombre de archivo pegadizo, los usuarios pueden ser socialmente diseñados para hacer clic en el archivo.
Imagen Nro.2: Cuentagotas ejecutable con diferentes iconos de productos de seguridad falsos
Algunos indicadores de compromiso
| SHA1 | Familia de malware |
| a96caf60c50e7c589fefc62d89c27e6ac60cdf2c | Mongall |
| ccccf5e131abe74066b75e8a49c82373414f5d95 | Mongall |
| 67f2cd4f1a60e1b940494812cdf38cd7c0290050 | Cuentagotas |
| aca99cfd074ed79c13f6349bd016d5b65e73c324 | Cuentagotas |
| 8d569ac92f1ca8437397765d351302c75c20525b | Explotación de documentos |
| 5c32a4e4c3d69a95e00a981a67f5ae36c7aae05e | Explotación de documentos |
| 7e6870a527ffb5235ee2b4235cd8e74eb0f69d0e | Heyoka modificado |
| 2f0ea0a0a2ffe204ec78a0bdf1f5dee372ec4d42 | Prueba DLL |
| 28b8843e3e2a385da312fd937752cd5b529f9483 | Instalador |
| cd59c14d46daaf874dc720be140129d94ee68e39 | Componente Upan |
Tabla Nro. 1 Indicadores de compromiso
Recomendaciones:
Aoqin Dragon continuará sus operaciones de ciberespionaje, mejorando y evitando su detección y cambiando a nuevas tácticas de evasión, por lo tanto se debe considerar una capacitación, entrenamiento, y concientización a la comunidad para evitar que abran adjuntos sospechosos, o den click en enlaces maliciosos. Se debe concientizar en el uso del antivirus antes de usar cualquier dispositivo móvil que se vaya a conectar al computador.
Referencias:
https://therecord.media/auqin-dragon-porn/
https://thehackernews.com/2022/06/a-decade-long-chinese-espionage.html
https://securityaffairs.co/wordpress/132099/apt/aoqin-dragon-targets-south-asia-australia.html
