Найкон АПТ

Naikon е името на APT (Advanced Persistent Threat), за която се смята, че произхожда от Китай. Хакерската група Naikon беше забелязана за първи път преди повече от десетилетие, през 2010 г. Naikon APT нашумя през 2015 г., когато инфраструктурата, използвана от кибер мошениците, беше разкрита от изследователи на зловреден софтуер. Благодарение на това разкритие един от членовете на хакерската група Naikon беше заловен от органите на реда. След този гаф анализаторите по киберсигурност предположиха, че Naikon APT е излязъл от бизнеса. Въпреки това, наскоро хакерската група Naikon се появи отново с троянския конец Aria-body – нова заплаха, която има множество функции.

Niakon атакува опит за избягване на откриването

Naikon APT е хакерска група, която е насочена към държавни служители и институции. Повечето от атаките, извършвани от хакерската група Naikon, са съсредоточени във Филипините, Виетнам, Индонезия, Мианмар, Бруней и Австралия. Повечето правителствени институции, насочени към кибер мошениците от Naikon APT, обикновено работят в сектора на външните работи или в научно-технологичната индустрия. Съобщава се, че някои бизнеси и компании, които са държавна собственост, също са били набелязани от Naikon APT.

Наблюдавайки хакерския арсенал на Naikon APT, изследователите на злонамерен софтуер стигнаха до заключението, че тези лица са склонни да извършват дългосрочни разузнавателни и шпионажни операции. Това е много типично за хакерски групи, насочени към чужди правителства и служители. Неотдавнашната операция на Naikon, която включваше гореспоменатия инструмент за хакване на Aria-body, беше насочена към австралийското правителство. Целта на бекдорския троянец Aria-body беше да събере данни и да поеме контрола върху целевите системи, свързани с правителството. Вероятно след като един от членовете на Naikon APT беше заловен през 2015 г., хакерската група реши да започне да работи по-тихо, за да избегне откриване от анализатори на зловреден софтуер. Това вероятно подведе експертите, за да повярват, че хакерската група Naikon се е оттеглила.

Хакерската група Naikon разпространява злонамерения софтуер Aria-body чрез фишинг имейли. Въпросните имейли са създадени, за да се избегне пораждането на подозрение конкретно в целта. Фалшивите имейли ще съдържат повреден прикачен файл, чиято цел е да се използва уязвимост, която може да бъде намерена в услугата на Microsoft Office.

Naikon получава нова спасителна линия за целенасочени атаки

Въпреки че Naikon остана привидно спящ в продължение на години и някои дори спекулираха, че APT е разпуснато след подробен доклад за структурата му от 2015 г., сега той отново вдигна глава.

Изследователи, работещи с Check Point, откриха, че Naikon е прекарал последните няколко години, непрекъснато насочвайки се към един и същ регион – държави и организации, разположени в Азиатско-тихоокеанския регион. Териториите, атакувани от Найкон, включват Австралия, Индонезия, Виетнам, Бруней, Тайланд и Мианмар. Основният инструмент, използван в тези атаки, беше бекдорът на Aria-body на Naikon и инструментът RAT.

Организациите, насочени към по-скорошни атаки, включват правителствени министерства и корпорации, собственост на правителството на съответната страна. Любопитно наблюдение е, че след като Naikon се утвърди в чужда организация, след това я използва за по-нататъшно разпространение на зловреден софтуер. Един такъв пример е чуждестранно посолство, което е било използвано за разпространение на зловреден софтуер до правителството на приемащата страна. Този подход използва известни и доверени контакти в посолството, което прави проникването по-лесно.

При скорошна атака полезният товар на Aria-body беше доставен чрез файл с богат текстов формат, наречен "The Indian Way.doc". Файлът беше въоръжен, за да използва определени експлойти с помощта на инструмента RoyalRoad. След като файлът с Rich Text Format бъде отворен, той пуска файл с име "Intel.wll", който действа като зареждане, което се опитва да изтегли полезния товар от втория етап от отдалечен домейн.

Експертите смятат, че целта на атаките на Найкон е събиране на разузнавателна информация и шпиониране на правителства. Лошите актьори зад Naikon APT могат да имат достъп до файлове на заразени системи и дори да регистрират натискания на клавиши и да правят екранни снимки. Част от причината, поради която APT избягва откриването на по-новите си дейности толкова дълго, е, че Naikon използва правителствени сървъри, които вече са били компрометирани като свои командни и контролни точки.

Със сигурност APT на Naikon все още не е окачил ръкавиците си. Кибер мошениците обаче предприеха някои мерки, за да останат под радара на изследователите по киберсигурност.

Цели на Naikon APT

Сравняването на последните атаки с тези от преди няколко години показва, че Naikon APT продължава да се насочва към същите региони. Както бе споменато, техните цели преди пет години включваха правителства в Азиатско-Тихоокеанския регион, а последните им атаки изглежда правят същото.

Едно интересно нещо, което трябва да се отбележи за групата, е, че те бавно разширяват позициите си в различни правителства. Групата прави това, като предприема атаки от едно нарушено правителство в опит да зарази друго правителство. Имаше един случай, когато чуждестранно посолство несъзнателно изпрати заразени документи до правителството на приемащата страна. Този инцидент показва колко ефективно хакерите използват доверени контакти, за да проникнат в нови цели и да разработят допълнително своята шпионска мрежа.

Като се имат предвид възможностите и целите на Naikon APT, става ясно, че целта на атаките е шпиониране на целевите правителства и събиране на разузнавателна информация за тях. Групата събира конкретни документи от своите цели в правителствените служби, а също така грабва данни от сменяеми устройства, събира екранни снимки на заразени компютри и използва откраднатите данни за шпионаж.

Ако всичко това не беше достатъчно лошо, Naikon APT се оказа умело да избягва откриването при преминаване през правителствени мрежи. Групата прави това, като компрометира сървъри в рамките на заразено министерство и използва тези компютри като команден и контролен сървър за събиране и изпращане на откраднатите данни. Благодарение на този метод на заразяване е почти невъзможно да ги проследите. Това беше един от начините, по които успяха да избегнат откриването в продължение на пет години.

Веригата за заразяване на Aria-Body

Изследванията показват, че групата има няколко различни начина да зарази компютрите с Aria-Body. Разследването на групата започна, когато изследователите забелязаха злонамерен имейл, изпратен до правителството на австралийската държава от правителствено посолство в региона. Заразеният документ се наричаше „Пътят на индианците“ и беше RTF файл. Файлът беше въоръжен с конструктора на експлойти RoyalRoad, който пуска зареждащия файл intel.wll в папката на Word на компютъра. Товарачът се опитва да изтегли следващия етап на заразяване от spool.jtjewifyn[.]com и да го изпълни.

Това няма да е първият път, когато хакери използват злонамерения софтуер RoyalRoad, за да направят окончателната доставка. Други ATP групи, като Vicious Panda, също използват метода за доставка на RoyalRoad. Забелязано е също, че Naikon използва архивни файлове, които съдържат легитимни файлове, заредени със злонамерени DLL файлове. Този метод се възползва от Outlook и други легитимни изпълними файлове за извършване на кибератака срещу цел. Naikon APT изглежда са станали много умели да се крият на видно място.

Първостепенният зареждач на Naikon

Преди да бъде разгърнат Aria-body RAT, зареждането на първия етап изпълнява редица задачи на заразената система. Товарачът е отговорен за осигуряването на постоянство на машината на жертвата, често използвайки папката за стартиране. След това полезният товар се инжектира в друг процес, като някои примери за целеви процеси са dllhost.exe и rundll32.exe. Товарачът декриптира своята конфигурация и се свързва с C&C, за да изтегли следващия етап на полезен товар - Aria-body RAT, който след това се декриптира и зарежда.

Пътят на процеса на Ария-тяло на Naikon

Поглед отблизо към тялото на Ария

Неотдавнашните атаки, извършени от Naikon, отново използваха персонализирания RAT на Aria-body, вероятно разработен от APT за неговите цели. Името на файла на полезния товар е това, което изследователите са използвали за името му - aria-body-dllx86.dll. Персонализираният RAT има функционалността, която се намира в повечето други RAT:

• манипулиране на файлове и директории
• правене на екранни снимки
• търсене на файлове
• стартиране на файлове с помощта на функцията ShellExecute
• затваряне на TCP сесия
• проверка на местоположението на системата за жертва, като се използва услугата "checkip" на Amazon

Изследователите са забелязали различни случаи на Aria-body, които също имат някои от следните функции:

• събиране на USB данни
• регистратор на натискане на клавиши
• обратен прокси за чорапи

Първата задача на Aria-body е да изстърже възможно най-много информация за системата на жертвата. Събраните данни включват име на хост, потребителско име, версия на ОС, честота на процесора, ключ MachineGUID и публичен IP адрес. Събраната част от данни се компресира с произволно генерирана парола, която след това се криптира.

RAT може да комуникира със своите C&C сървъри, използвайки HTTP или TCP. Кой от протоколите се използва се определя от флаг в конфигурацията на зареждача. Компресираните системни данни на жертвата се прехвърлят към C&C заедно с криптираната парола за архив. След като прехвърлянето приключи, RAT започва да слуша своите C&C за входящи команди.