Китайская
APT-группа Aoqin Dragon известная своими кибератаками на правительственные, образовательные и телекоммуникационные организации Юго-Восточной Азии и Австралии с 2013 года.
По словам исследователей , Aoqin Dragon может быть связана с группировкой Naikon (Override Panda). Обе кампании нацелены на пользователей в Австралии, Камбодже, Гонконге, Сингапуре и Вьетнаме. Кампания Aoqin Dragon влияет на политику Азиатско-Тихоокеанского региона и содержит в себе документ-приманку порнографической тематики, а также методы быстрого доступа к USB для развертывания бэкдоров Mongall и Heyoka.
С 2018 года Aoqin Dragon использует поддельный ярлык съемного устройства .LNK, который при нажатии запускает исполняемый файл RemovableDisc.exe. Файл замаскирован под ярлык Evernote, но работает в качестве загрузчика для двух разных полезных нагрузок.
Кампания копирует вредоносные файлы на съемные устройства компьютера, а зашифрованный бэкдор Mongall внедряется в память процесса Windows rundll32 , используемого для запуска DLL-файлов . Mongall может создать удаленную оболочку и загрузить произвольные файлы с сервера злоумышленника на устройство или наоборот с устройства на сервер.
Также кампания содержит модифицированный вариант бэкдора Heyoka (srvdll.dll), PoC-инструмент эксфильтрации, который создает двунаправленный туннель DNS. Модифицированный бэкдор Heyoka оснащен следующими дополнительными возможностями:
создание, удаление и поиск файлов;
создание и завершение процессов;
сбор информации о процессах на скомпрометированном хосте.
Напомним, что недавно китайские хакеры провели крупную кибератаку на телекоммуникационные компании США, использовав инфраструктуру жертвы для закрепления в системе и перехвата трафика.
Источник: SecurityLab