Naikon APT
Naikon هو اسم APT (التهديد المستمر المتقدم) الذي يعتقد أنه مصدره الصين. تم رصد مجموعة نايكون للقرصنة لأول مرة منذ أكثر من عقد ، في عام 2010. تصدرت Naikon APT عناوين الصحف في عام 2015 عندما اكتشف باحثو البرمجيات الخبيثة البنية التحتية التي يستخدمها المحتالون عبر الإنترنت. بفضل هذا العرض ، تم القبض على أحد أعضاء مجموعة قرصنة Naikon من قبل سلطات إنفاذ القانون. بعد هذه الزلة ، افترض محللو الأمن السيبراني أن Naikon APT قد توقفت عن العمل. ومع ذلك ، عادت مجموعة القرصنة Naikon للظهور مرة أخرى مع Aria-body backdoor Trojan مؤخرًا - وهو تهديد جديد له العديد من الميزات.
جدول المحتويات
هجمات نياكون تحاول التهرب من الاكتشاف
Naikon APT هي مجموعة قرصنة تميل إلى استهداف المسؤولين والمؤسسات الحكومية. وتتركز معظم الهجمات التي نفذتها جماعة ناكون للقرصنة في الفلبين وفيتنام وإندونيسيا وميانمار وبروناي وأستراليا. عادةً ما تعمل معظم المؤسسات الحكومية المستهدفة من قبل المحتالين الإلكترونيين من Naikon APT في قطاع الشؤون الخارجية أو صناعة العلوم والتكنولوجيا. وبحسب ما ورد تم استهداف بعض الشركات والشركات المملوكة للحكومة من قبل Naikon APT أيضًا.
من خلال مراقبة ترسانة القرصنة الخاصة بـ Naikon APT ، خلص باحثو البرامج الضارة إلى أن هؤلاء الأفراد يميلون إلى القيام بعمليات استطلاع وتجسس طويلة المدى. هذا أمر نموذجي للغاية بالنسبة لمجموعات القرصنة التي تستهدف الحكومات والمسؤولين الأجانب. استهدفت عملية Naikon الأخيرة التي تضمنت أداة اختراق أجسام Aria المذكورة أعلاه الحكومة الأسترالية. كان الهدف من تروجان Aria-body الخلفي هو جمع البيانات والسيطرة على الأنظمة المرتبطة بالحكومة المستهدفة. من المحتمل أنه بعد أن تم القبض على أحد أعضاء Naikon APT مرة أخرى في عام 2015 ، قررت مجموعة القرصنة بدء العمل بصمت أكبر لتجنب اكتشاف محللي البرامج الضارة. من المحتمل أن يكون هذا قد ضلل الخبراء إلى الاعتقاد بأن مجموعة القرصنة Naikon قد تقاعدت.
تنشر مجموعة القرصنة Naikon البرامج الضارة لجسم Aria عبر رسائل البريد الإلكتروني الخاصة بالخداع بالرمح. تم تصميم رسائل البريد الإلكتروني المعنية لتجنب إثارة الشكوك في الهدف على وجه التحديد. قد تحتوي رسائل البريد الإلكتروني المزيفة على مرفق تالف هدفه استغلال الثغرة الأمنية التي يمكن العثور عليها في خدمة Microsoft Office.
Naikon تحصل على شريان حياة جديد للهجمات المستهدفة
على الرغم من أن Naikon ظلت نائمة على ما يبدو لسنوات ، وكان البعض يتكهن بأن APT قد تم حلها بعد تقرير مفصل لعام 2015 عن هيكلها ، إلا أنها الآن ترفع رأسها مرة أخرى.
اكتشف الباحثون الذين يعملون مع Check Point أن Naikon أمضت السنوات القليلة الماضية في استهداف نفس المنطقة باستمرار - البلدان والمنظمات الواقعة في منطقة آسيا والمحيط الهادئ. تشمل الأراضي التي هاجمتها Naikon أستراليا وإندونيسيا وفيتنام وبروناي وتايلاند وميانمار. كانت الأداة الرئيسية المستخدمة في تلك الهجمات هي الباب الخلفي لجسم Naikon وأداة RAT.
المنظمات المستهدفة في الهجمات الأخيرة تشمل الوزارات والشركات الحكومية المملوكة لحكومة الدولة المعنية. ملاحظة مثيرة للفضول هي أنه بمجرد أن يكتسب Naikon موطئ قدم في كيان أجنبي ، فإنه يستخدمه لنشر المزيد من البرامج الضارة. أحد الأمثلة على ذلك هو السفارة الأجنبية التي تم استخدامها لنشر البرامج الضارة إلى حكومة البلد المضيف. يستخدم هذا النهج جهات اتصال معروفة وموثوق بها داخل السفارة ، مما يسهل عملية التسلل.
في هجوم حديث ، تم تسليم حمولة Aria-body من خلال ملف نص منسق باسم "The Indian Way.doc". تم تسليح الملف لاستخدام بعض الثغرات باستخدام أداة RoyalRoad. بمجرد فتح ملف Rich Text Format ، فإنه يسقط ملفًا باسم "Intel.wll" ، والذي يعمل كمحمل يحاول تنزيل حمولة المرحلة الثانية من مجال بعيد.
يعتقد الخبراء أن الغرض من هجمات ناكون هو جمع المعلومات الاستخباراتية والتجسس على الحكومات. يمكن للممثلين السيئين وراء Naikon APT الوصول إلى الملفات الموجودة على الأنظمة المصابة وحتى تسجيل ضغطات المفاتيح والتقاط لقطات شاشة. جزء من السبب وراء تهرب APT من الكشف عن أنشطتها الحديثة لفترة طويلة هو أن Naikon استخدمت خوادم حكومية تم اختراقها بالفعل كنقاط قيادة وتحكم.
لم تعلق Naikon APT قفازاتها بعد ، بالتأكيد. ومع ذلك ، فقد اتخذ المحتالون السيبرانيون بعض الإجراءات للبقاء تحت رادار باحثي الأمن السيبراني.
أهداف Naikon APT
تظهر مقارنة الهجمات الأخيرة بالهجمات التي حدثت منذ عدة سنوات أن Naikon APT تواصل استهداف نفس المناطق. كما ذكرنا ، تضمنت أهدافهم قبل خمس سنوات الحكومات في جميع أنحاء منطقة آسيا والمحيط الهادئ ، ويبدو أن هجماتهم الأخيرة تفعل الشيء نفسه.
أحد الأشياء المثيرة للاهتمام التي يجب ملاحظتها حول المجموعة هو أنها كانت تعمل ببطء على توسيع موطئ قدمها في مختلف الحكومات. تقوم الجماعة بذلك من خلال شن هجمات من حكومة ممزقة في محاولة لإصابة حكومة أخرى. كانت هناك حالة واحدة أرسلت فيها سفارة أجنبية دون قصد وثائق مصابة إلى حكومة البلد المضيف. تُظهر هذه الحادثة مدى فاعلية المتسللين في استغلال جهات الاتصال الموثوقة لاختراق أهداف جديدة وتطوير شبكة التجسس الخاصة بهم.
نظرًا لقدرات وأهداف Naikon APT ، يتضح أن الغرض من الهجمات هو التجسس على الحكومات المستهدفة وجمع المعلومات الاستخبارية عنها. تقوم المجموعة بجمع وثائق محددة من أهدافها داخل الإدارات الحكومية ، وكذلك الحصول على البيانات من محركات الأقراص القابلة للإزالة ، وجمع لقطات من أجهزة الكمبيوتر المصابة ، واستخدام البيانات المسروقة للتجسس.
إذا لم يكن كل ذلك سيئًا بما فيه الكفاية ، فقد أثبتت Naikon APT أنها بارعة في تجنب الاكتشاف عند المرور عبر الشبكات الحكومية. تقوم المجموعة بذلك عن طريق اختراق الخوادم داخل وزارة مصابة واستخدام تلك الحواسيب كخادم قيادة وتحكم لجمع البيانات المسروقة وإرسالها. يكاد يكون من المستحيل تتبعهم بفضل طريقة العدوى هذه. كانت هذه إحدى الطرق التي تمكنوا من تجنب الاكتشاف لمدة خمس سنوات.
سلسلة عدوى الجسم
تظهر الأبحاث أن المجموعة لديها عدة طرق مختلفة لإصابة أجهزة الكمبيوتر بـ Aria-Body. بدأ التحقيق مع المجموعة عندما اكتشف الباحثون رسالة بريد إلكتروني ضارة أرسلتها سفارة حكومية في المنطقة إلى حكومة الولاية الأسترالية. الوثيقة المصابة كانت تسمى "طريقة الهنود" وكانت عبارة عن ملف RTF. تم تسليح الملف باستخدام منشئ استغلال RoyalRoad ، والذي يقوم بإسقاط أداة تحميل intel.wll في مجلد Word على الكمبيوتر. يحاول المُحمل تنزيل المرحلة التالية من الإصابة من spool.jtjewifyn [.] com وتنفيذه.
لن تكون هذه هي المرة الأولى التي يستخدم فيها المتسللون البرامج الضارة RoyalRoad لإجراء التسليم النهائي. تستخدم مجموعات ATP الأخرى ، مثل Vicious Panda ، طريقة توصيل RoyalRoad أيضًا. تمت مشاهدة Naikon أيضًا باستخدام ملفات الأرشيف التي تحتوي على ملفات شرعية محملة بملفات DLL ضارة. تستفيد هذه الطريقة من Outlook والملفات القابلة للتنفيذ المشروعة الأخرى لإجراء هجوم إلكتروني على هدف. يبدو أن Naikon APT أصبحت بارعة جدًا في الاختباء في مرمى البصر.
محمل المرحلة الأولى من Naikon
قبل نشر Aria-body RAT ، يقوم محمل المرحلة الأولى بتنفيذ عدد من المهام على النظام المصاب. يعتبر المُحمل مسؤولاً عن ضمان الثبات على جهاز الضحية ، وغالبًا ما يستخدم مجلد بدء التشغيل. ثم تحقن الحمولة نفسها في عملية أخرى ، مع بعض الأمثلة على العمليات المستهدفة مثل dllhost.exe و rundll32.exe. يقوم المُحمل بفك تشفير التكوين الخاص به والاتصال بـ C&C لتنزيل حمولة المرحلة التالية - Aria-body RAT ، والتي يتم بعد ذلك فك تشفيرها وتحميلها.
مسار عملية Naikon's Aria-body
نظرة فاحصة على جسم الأغنية
استخدمت الهجمات الأخيرة التي نفذتها شركة Naikon مرة أخرى نظام التحكم عن بعد (RAT) المخصص لجسم Aria ، والذي من المحتمل أن تكون قد طورته APT لأغراضها. اسم ملف الحمولة هو ما استخدمه الباحثون لاسمها - aria-body-dllx86.dll. يحتوي RAT المخصص على الوظائف الموجودة في معظم RATs الأخرى:
- التلاعب بالملفات والدلائل
- أخذ لقطات
- البحث عن الملفات
- تشغيل الملفات باستخدام وظيفة ShellExecute
- إغلاق جلسة TCP
- التحقق من موقع نظام الضحية باستخدام خدمة "checkip" من أمازون
اكتشف الباحثون حالات مختلفة لجسم Aria كان لها بعض الوظائف التالية أيضًا:
- جمع بيانات USB
- مسجل ضغطات المفاتيح
- عكس وكيل الجوارب
تتمثل المهمة الأولى لـ Aria-body في استخراج أكبر قدر ممكن من المعلومات حول نظام الضحية. تتضمن التفاصيل التي تم جمعها اسم المضيف واسم المستخدم وإصدار نظام التشغيل وتردد وحدة المعالجة المركزية ومفتاح MachineGUID وعنوان IP العام. يتم ضغط مجموعة البيانات المجمعة بكلمة مرور تم إنشاؤها عشوائيًا يتم تشفيرها بعد ذلك.
يمكن لـ RAT التواصل مع خوادم القيادة والتحكم الخاصة بها باستخدام إما HTTP أو TCP. يتم تحديد أي من البروتوكولات المستخدمة بواسطة علامة في تكوين برنامج التحميل. يتم نقل بيانات النظام المضغوطة للضحية إلى C&C مع كلمة مرور الأرشيف المشفرة. بعد اكتمال النقل ، يبدأ RAT في الاستماع إلى C & C للأوامر الواردة.
