Naikon APT
Naikon és el nom d'una APT (Amenaça persistent avançada) que es creu que prové de la Xina. El grup de pirates informàtics de Naikon es va detectar per primera vegada fa més d'una dècada, l'any 2010. El Naikon APT va ser notícia el 2015 quan els investigadors de programari maliciós van descobrir la infraestructura utilitzada pels ciberdelinqüents. Gràcies a aquesta exposició, un dels membres del grup de pirateria Naikon va ser capturat per les forces de l'ordre. Després d'aquesta gafeta, els analistes de ciberseguretat van suposar que l'APT de Naikon havia quedat sense negoci. No obstant això, el grup de pirateria de Naikon ha ressorgitrecentment amb el troià Aria-body backdoor, una nova amenaça que té multitud de funcions.
Taula de continguts
Niakon ataca l'intent d'evadir la detecció
El Naikon APT és un grup de pirateria que tendeix a dirigir-se a funcionaris i institucions governamentals. La majoria dels atacs realitzats pel grup de pirateria Naikon es concentren a les Filipines, Vietnam, Indonèsia, Myanmar, Brunei i Austràlia. La majoria de les institucions governamentals apuntades pels ciberdelinqüents de l'APT de Naikon solen operar al sector d'afers exteriors o a la indústria de la ciència i la tecnologia. Algunes empreses i empreses, que són propietat del govern, també han estat atacades per l'APT de Naikon.
Observant l'arsenal de pirateria de l'APT de Naikon, els investigadors de programari maliciós han conclòs que aquests individus solen dur a terme operacions de reconeixement i espionatge a llarg termini. Això és molt típic per als grups de pirateria que tenen com a objectiu governs i funcionaris estrangers. La recent operació de Naikon que va implicar l'esmentada eina de pirateria Aria-body va apuntar al govern australià. L'objectiu del troià de la porta del darrere d'Aria-body era recollir dades i assumir el control dels sistemes destinats vinculats al govern. És probable que després que un dels membres de l'APT de Naikon fos atrapat el 2015, el grup de pirateria va decidir començar a operar de manera més silenciosa per evitar la detecció dels analistes de programari maliciós. Això probablement va induir els experts a creure que el grup de pirateria de Naikon s'ha retirat.
El grup de pirateria de Naikon propaga el programari maliciós Aria-body mitjançant correus electrònics de pesca de pesca. Els correus electrònics en qüestió es van crear per evitar sospitar específicament a l'objectiu. Els correus electrònics falsos contindrien un fitxer adjunt malmès l'objectiu del qual és explotar una vulnerabilitat que es pot trobar al servei de Microsoft Office.
Naikon obté una nova línia de vida per als atacs dirigits
Tot i que Naikon va romandre aparentment inactiu durant anys i fins i tot alguns especulaven que l'APT s'havia dissolt després d'un informe detallat de 2015 sobre la seva estructura, ara ha tornat a aixecar el cap.
Els investigadors que treballen amb Check Point van descobrir que Naikon va passar els últims anys dirigint-se contínuament a la mateixa regió: països i organitzacions ubicades a la regió d'Àsia Pacífic. Els territoris atacats per Naikon inclouen Austràlia, Indonèsia, Vietnam, Brunei, Tailàndia i Myanmar. L'eina principal utilitzada en aquests atacs va ser la porta del darrere del cos Aria i l'eina RAT de Naikon.
Les organitzacions objecte d'atacs més recents inclouen ministeris governamentals i corporacions propietat del govern del país respectiu. Una observació curiosa és que un cop Naikon s'assenta a una entitat estrangera, l'utilitza per difondre encara més programari maliciós. Un d'aquests exemples és una ambaixada estrangera que es va utilitzar per difondre programari maliciós al govern del país d'acollida. Aquest enfocament utilitza contactes coneguts i de confiança dins de l'ambaixada, cosa que facilita la infiltració.
En un atac recent, la càrrega útil del cos d'Aria es va lliurar mitjançant un fitxer de format de text enriquit anomenat "The Indian Way.doc". El fitxer es va armar per utilitzar determinades explotacions mitjançant l'eina RoyalRoad. Un cop obert el fitxer de format de text enriquit, deixa anar un fitxer anomenat "Intel.wll", que actua com a carregador que intenta descarregar la càrrega útil de la segona etapa des d'un domini remot.
Els experts creuen que l'objectiu dels atacs de Naikon és recollir informació i espiar els governs. Els mals actors que hi ha darrere del Naikon APT poden accedir als fitxers dels sistemes infectats i fins i tot registrar les pulsacions de tecla i fer captures de pantalla. Una part del motiu pel qual l'APT va evadir la detecció de les seves activitats més recents durant tant de temps va ser que Naikon va utilitzar servidors governamentals que ja estaven compromesos com a punts de comandament i control.
El Naikon APT encara no ha penjat els guants, certament. Tanmateix, els ciberdelinqüents han pres algunes mesures per romandre sota el radar dels investigadors de ciberseguretat.
Objectius Naikon APT
La comparació dels atacs recents amb els de fa uns quants anys mostra que Naikon APT continua apuntant a les mateixes regions. Com s'ha esmentat, els seus objectius fa cinc anys incloïen governs de la regió Àsia-Pacífic, i els seus atacs recents semblen fer el mateix.
Una cosa interessant a destacar del grup és que lentament han anat ampliant el seu lloc en diversos governs. El grup ho fa llançant atacs d'un govern violat per intentar infectar un altre govern. Hi va haver un cas en què una ambaixada estrangera va enviar sense saber-ho documents infectats al govern del país d'acollida. Aquest incident mostra amb quina eficàcia els pirates informàtics estan explotant contactes de confiança per infiltrar-se en nous objectius i desenvolupar encara més la seva xarxa d'espionatge.
Tenint en compte les capacitats i els objectius de Naikon APT, queda clar que el propòsit dels atacs és espiar els governs objectiu i recollir informació sobre ells. El grup està recopilant documents específics dels seus objectius dins dels departaments governamentals, i també agafa dades de unitats extraïbles, recull captures de pantalla d'ordinadors infectats i utilitza les dades robades per a l'espionatge.
Si tot això no va ser prou dolent, Naikon APT ha demostrat ser capaç d'evadir la detecció quan passa per les xarxes governamentals. El grup ho fa comprometent els servidors d'un ministeri infectat i utilitzant aquests ordinadors com a servidor d'ordres i control per recollir i enviar les dades robades. És gairebé impossible rastrejar-los gràcies a aquest mètode d'infecció. Aquesta va ser una de les maneres en què van poder evitar la detecció durant cinc anys.
La cadena d'infecció Aria-Body
La investigació mostra que el grup té diverses maneres diferents d'infectar els ordinadors amb Aria-Body. La investigació del grup va començar quan els investigadors van detectar un correu electrònic maliciós enviat al govern de l'estat australià per una ambaixada del govern a la regió. El document infectat es deia "The Indians Way" i era un fitxer RTF. El fitxer es va crear amb el creador d'explotacions RoyalRoad, que deixa anar el carregador intel.wll a la carpeta Word de l'ordinador. El carregador intenta descarregar la següent etapa de la infecció des de spool.jtjewifyn[.]com i executar-la.
Aquesta no seria la primera vegada que els pirates informàtics utilitzen el programari maliciós RoyalRoad per fer el lliurament final. Altres grups ATP, com Vicious Panda, també utilitzen el mètode de lliurament RoyalRoad. També s'ha vist que Naikon utilitza fitxers d'arxiu que contenen fitxers legítims carregats amb fitxers DLL maliciosos. Aquest mètode aprofita l'Outlook i altres fitxers executables legítims per dur a terme un ciberatac a un objectiu. Sembla que Naikon APT s'ha fet molt habilitat per amagar-se a la vista.
Carregador de primera etapa de Naikon
Abans de desplegar l'Aria-body RAT, el carregador de la primera etapa realitza una sèrie de tasques al sistema infectat. El carregador és responsable de garantir la persistència a la màquina de la víctima, sovint utilitzant la carpeta d'inici. A continuació, la càrrega útil s'injecta en un altre procés, amb alguns exemples de processos dirigits com dllhost.exe i rundll32.exe. El carregador desxifra la seva configuració i es posa en contacte amb el C&C per descarregar la càrrega útil de la següent etapa: l'Aria-body RAT, que després es desxifra i es carrega.
Trajecte del procés del cos Ària de Naikon
Una mirada més propera a Aria-body
Els recents atacs duts a terme per Naikon van tornar a utilitzar el RAT personalitzat Aria-body, probablement desenvolupat per l'APT per als seus propòsits. El nom de fitxer de la càrrega útil és el que els investigadors van utilitzar per al seu nom: aria-body-dllx86.dll. El RAT personalitzat té la funcionalitat que es troba a la majoria de les altres RAT:
- manipulació de fitxers i directoris
- fent captures de pantalla
- cercant fitxers
- llançant fitxers mitjançant la funció ShellExecute
- tancant una sessió TCP
- comprovant la ubicació d'un sistema de víctimes, utilitzant el servei "checkip" d'Amazon
Els investigadors han detectat diferents casos d'Aria-body que també tenien algunes de les funcionalitats següents:
- recollida de dades USB
- registrador de tecles
- proxy de mitjons inversos
La primera tasca d'Aria-body és recollir la màxima informació possible sobre el sistema de la víctima. Els detalls recopilats inclouen el nom d'amfitrió, el nom d'usuari, la versió del sistema operatiu, la freqüència de la CPU, la clau de MachineGUID i l'adreça IP pública. El tros de dades recollides es comprimeix amb una contrasenya generada aleatòriament que després es xifra.
El RAT pot comunicar-se amb els seus servidors C&C mitjançant HTTP o TCP. Quin dels protocols que s'utilitza està determinat per un indicador a la configuració del carregador. Les dades del sistema comprimides de la víctima es transfereixen al C&C juntament amb la contrasenya d'arxiu xifrada. Un cop finalitzada la transferència, el RAT comença a escoltar el seu C&C per a les ordres entrants.
