Какую угрозу представляют китайские хакеры

Китайская APT-группа Aoqin Dragon известная своими кибератаками на правительственные, образовательные и телекоммуникационные организации Юго-Восточной Азии и Австралии с 2013 года.

По словам исследователей , Aoqin Dragon может быть связана с группировкой Naikon (Override Panda). Обе кампании нацелены на пользователей в Австралии, Камбодже, Гонконге, Сингапуре и Вьетнаме. Кампания Aoqin Dragon влияет на политику Азиатско-Тихоокеанского региона и содержит в себе документ-приманку порнографической тематики, а также методы быстрого доступа к USB для развертывания бэкдоров Mongall и Heyoka.

С 2018 года Aoqin Dragon использует поддельный ярлык съемного устройства .LNK, который при нажатии запускает исполняемый файл RemovableDisc.exe. Файл замаскирован под ярлык Evernote, но работает в качестве загрузчика для двух разных полезных нагрузок.

Кампания копирует вредоносные файлы на съемные устройства компьютера, а зашифрованный бэкдор Mongall внедряется в память процесса Windows rundll32 , используемого для запуска DLL-файлов . Mongall может создать удаленную оболочку и загрузить произвольные файлы с сервера злоумышленника на устройство или наоборот с устройства на сервер.

Также кампания содержит модифицированный вариант бэкдора Heyoka (srvdll.dll), PoC-инструмент эксфильтрации, который создает двунаправленный туннель DNS. Модифицированный бэкдор Heyoka оснащен следующими дополнительными возможностями:

• создание, удаление и поиск файлов;
• создание и завершение процессов;
• сбор информации о процессах на скомпрометированном хосте.

Напомним, что недавно китайские хакеры провели крупную кибератаку на телекоммуникационные компании США, использовав инфраструктуру жертвы для закрепления в системе и перехвата трафика.