esenfrdeitptru

Malware Aoquin Dragon ha espiado organizaciones por 10 años

AS-057-2022

Fecha: 10/Jun/2022

Resumen:

El Malware Aoquin Dragón, recientemente descubierto se lo ha vinculado a China. Éste ha sido utilizado para espiar silenciosamente a las organizaciones durante 10 años. Aoqin Dragon es un actor de amenazas que SentinelLabs ha estado rastreando ampliamente, ha operado desde 2013 apuntando a organizaciones gubernamentales, educativas y de telecomunicaciones en el sudeste asiático y Australia.

Técnicas y tácticas del Malware.

Aoqin Dragon confía en gran medida en la técnica de secuestro de DLL para comprometer objetivos y ejecutar el malware de su elección. Esto incluye su nuevo cargador de malware, la puerta trasera Mongall y una puerta trasera Heyoka modificada.

La lógica de inyección de código es idéntica a la del libro WINDOWS黑客编程技术详解(Explicación de las técnicas de programación de piratería de Windows), Capítulo 4, Sección 3, que describe cómo usar la memoria para ejecutar directamente un archivo DLL. También se encontró el mismo código en GitHub. Una cadena de depuración dentro del cargador de prueba de DLL, proporciona más evidencia de que ésta es la fuente del código en el malware.

AS 057 2022 Imagen 1
Imagen Nro. 1 Código en GitHub

El actor de amenazas desarrolló archivos ejecutables enmascarados con íconos de archivos de documentos, como carpetas de Windows e íconos de proveedores de antivirus, que actúan como cuentagotas para ejecutar una puerta trasera y conectarse al servidor C2. Aunque una variedad de actores han utilizado archivos ejecutables con iconos de archivos falsos, sigue siendo una herramienta eficaz, especialmente para los objetivos APT. Combinado con contenido de correo electrónico "interesante" y un nombre de archivo pegadizo, los usuarios pueden ser socialmente diseñados para hacer clic en el archivo.


AS 057 2022 Imagen 2

Imagen Nro.2: Cuentagotas ejecutable con diferentes iconos de productos de seguridad falsos

 

Algunos indicadores de compromiso

SHA1 Familia de malware
a96caf60c50e7c589fefc62d89c27e6ac60cdf2c Mongall
ccccf5e131abe74066b75e8a49c82373414f5d95 Mongall
67f2cd4f1a60e1b940494812cdf38cd7c0290050 Cuentagotas
aca99cfd074ed79c13f6349bd016d5b65e73c324 Cuentagotas
8d569ac92f1ca8437397765d351302c75c20525b Explotación de documentos
5c32a4e4c3d69a95e00a981a67f5ae36c7aae05e Explotación de documentos
7e6870a527ffb5235ee2b4235cd8e74eb0f69d0e Heyoka modificado
2f0ea0a0a2ffe204ec78a0bdf1f5dee372ec4d42 Prueba DLL
28b8843e3e2a385da312fd937752cd5b529f9483 Instalador
cd59c14d46daaf874dc720be140129d94ee68e39 Componente Upan

Tabla Nro. 1 Indicadores de compromiso

Recomendaciones:

Aoqin Dragon continuará sus operaciones de ciberespionaje, mejorando y evitando su detección y cambiando a nuevas tácticas de evasión, por lo tanto se debe considerar una capacitación, entrenamiento, y concientización a la comunidad para evitar que abran adjuntos sospechosos, o den click en enlaces maliciosos. Se debe concientizar en el uso del antivirus antes de usar cualquier dispositivo móvil que se vaya a conectar al computador.

Referencias:

https://www.sentinelone.com/labs/aoqin-dragon-newly-discovered-chinese-linked-apt-has-been-quietly-spying-on-organizations-for-10-years/

https://www.bleepingcomputer.com/news/security/chinese-hacking-group-aoqin-dragon-quietly-spied-orgs-for-a-decade/

https://therecord.media/auqin-dragon-porn/

https://thehackernews.com/2022/06/a-decade-long-chinese-espionage.html

https://securityaffairs.co/wordpress/132099/apt/aoqin-dragon-targets-south-asia-australia.html

https://www.itnews.com.au/news/australian-organisations-targeted-by-aoqin-dragon-hackers-for-a-decade-581154

Tlp Clear 2023