Licence pro více zařízení (množstevní slevy)
Threat Database Advanced Persistent Threat (APT) Naikon APT

Naikon APT

V roce GoldSparrow v roce Advanced Persistent Threat (APT)
Přeložit do:
Čeština

naikon apt Naikon je název APT (Advanced Persistent Threat), o kterém se předpokládá, že pochází z Číny. Hackerská skupina Naikon byla poprvé spatřena před více než deseti lety, v roce 2010. Naikon APT se dostal na první stránky novin v roce 2015, kdy výzkumníci malwaru odhalili infrastrukturu používanou kybernetickými podvodníky. Díky tomuto odhalení byl strážci zákona dopaden jeden z členů hackerské skupiny Naikon. Po tomto nešvaru analytici kybernetické bezpečnosti předpokládali, že Naikon APT přestal fungovat. Hackerská skupina Naikon se však nedávno znovu objevila s trojským koněm Aria-body backdoor – novou hrozbou, která má mnoho funkcí.

Niakon útočí na pokus vyhnout se detekci

Naikon APT je hackerská skupina, která má tendenci se zaměřovat na vládní úředníky a instituce. Většina útoků hackerské skupiny Naikon je soustředěna na Filipínách, Vietnamu, Indonésii, Myanmaru, Bruneji a Austrálii. Většina vládních institucí, na které se kybernetičtí podvodníci z Naikon APT zaměřují, obvykle působí v zahraničním sektoru nebo ve vědeckotechnickém průmyslu. Některé podniky a společnosti, které jsou vlastněny vládou, byly údajně také cílem Naikon APT.

Výzkumníci malwaru při sledování hackerského arzenálu Naikon APT došli k závěru, že tito jedinci mají tendenci provádět dlouhodobé průzkumné a špionážní operace. To je velmi typické pro hackerské skupiny, které se zaměřují na zahraniční vlády a úředníky. Nedávná operace Naikon, která zahrnovala zmíněný nástroj na hackování těla Aria, se zaměřila na australskou vládu. Cílem Aria-body backdoor Trojan bylo shromáždit data a převzít kontrolu nad cílenými vládními systémy. Je pravděpodobné, že poté, co byl v roce 2015 přistižen jeden z členů Naikon APT, se hackerská skupina rozhodla začít pracovat tišeji, aby se vyhnula odhalení analytiky malwaru. To pravděpodobně uvedlo odborníky v omyl, aby se domnívali, že hackerská skupina Naikon odešla do důchodu.

Hackerská skupina Naikon šíří malware Aria-body prostřednictvím spear-phishingových e-mailů. Dotyčné e-maily byly vytvořeny tak, aby nevznikaly podezření konkrétně u cíle. Falešné e-maily by obsahovaly poškozenou přílohu, jejímž cílem je zneužít zranitelnost, kterou lze nalézt ve službě Microsoft Office.

Naikon získává nové záchranné lano pro cílené útoky

Přestože Naikon zůstával zdánlivě nečinný po léta a někteří dokonce spekulovali o tom, že APT byl po podrobné zprávě o jeho struktuře z roku 2015 rozpuštěn, nyní opět postavil hlavu.

Výzkumníci spolupracující se společností Check Point zjistili, že Naikon strávil posledních několik let nepřetržitě zaměřením na stejný region – země a organizace v asijsko-pacifickém regionu. Mezi území napadená Naikonem patří Austrálie, Indonésie, Vietnam, Brunej, Thajsko a Myanmar. Hlavním nástrojem použitým při těchto útocích byla zadní vrátka Aria-body od Naikonu a nástroj RAT.

Mezi organizace, na které se zaměřují novější útoky, patří vládní ministerstva a korporace vlastněné vládou příslušné země. Kuriózním postřehem je, že jakmile Naikon získá oporu v cizím subjektu, použije jej k dalšímu šíření malwaru. Jedním takovým příkladem je zahraniční ambasáda, která byla použita k šíření malwaru vládě hostitelské země. Tento přístup využívá známé a důvěryhodné kontakty v rámci ambasády, což usnadňuje infiltraci.

Při nedávném útoku bylo užitečné zatížení těla Aria doručeno prostřednictvím souboru Rich Text Format s názvem „The Indian Way.doc“. Soubor byl vyzbrojen k použití určitých exploitů pomocí nástroje RoyalRoad. Jakmile je soubor ve formátu Rich Text Format otevřen, zahodí soubor s názvem „Intel.wll“, který funguje jako zavaděč, který se pokouší stáhnout datovou část druhé fáze ze vzdálené domény.

Odborníci se domnívají, že účelem Naikonových útoků je shromažďování zpravodajských informací a špehování vlád. Zlí herci za Naikon APT mohou přistupovat k souborům na infikovaných systémech a dokonce zaznamenávat stisknuté klávesy a pořizovat snímky obrazovky. Částečným důvodem, proč se APT tak dlouho vyhýbala detekci svých novějších aktivit, bylo to, že Naikon používal vládní servery, které již byly kompromitovány, jako své velitelské a kontrolní body.

Naikon APT rozhodně ještě nepověsil rukavice. Kybernetičtí podvodníci však přijali určitá opatření, aby zůstali pod dohledem výzkumníků v oblasti kybernetické bezpečnosti.

Naikon APT cíle

Srovnání nedávných útoků s útoky před několika lety ukazuje, že Naikon APT se nadále zaměřuje na stejné regiony. Jak již bylo zmíněno, jejich cíle před pěti lety zahrnovaly vlády napříč asijsko-pacifickým regionem a zdá se, že jejich nedávné útoky dělaly totéž.

Jedna zajímavá věc, kterou je třeba o této skupině poznamenat, je, že pomalu rozšiřují své postavení v různých vládách. Skupina to dělá tak, že zahajuje útoky od jedné narušené vlády ve snaze infikovat vládu jinou. Vyskytl se jeden případ, kdy zahraniční velvyslanectví nevědomky zaslalo infikované dokumenty vládě své hostitelské země. Tento incident ukazuje, jak efektivně hackeři využívají důvěryhodné kontakty k infiltraci nových cílů a dalšímu rozvoji své špionážní sítě.

Vzhledem ke schopnostem a cílům Naikon APT je jasné, že účelem útoků je špehovat cílové vlády a získávat o nich zpravodajské informace. Skupina shromažďuje konkrétní dokumenty od svých cílů v rámci vládních ministerstev a také získává data z vyměnitelných disků, sbírá snímky obrazovek infikovaných počítačů a používá ukradená data ke špionáži.

Pokud to všechno nebylo dost špatné, Naikon APT se ukázal jako zběhlý ve vyhýbání se detekci při průchodu vládními sítěmi. Skupina to dělá tak, že kompromituje servery v infikovaném ministerstvu a používá tyto počítače jako příkazový a řídicí server ke shromažďování a odesílání ukradených dat. Díky této infekční metodě je téměř nemožné je vystopovat. To byl jeden ze způsobů, jak se dokázali vyhnout odhalení po dobu pěti let.

Infekční řetězec Aria-Body

Výzkum ukazuje, že skupina má několik různých způsobů, jak infikovat počítače Aria-Body. Vyšetřování této skupiny začalo, když výzkumníci zaznamenali škodlivý e-mail, který australské státní vládě zaslalo vládní velvyslanectví v regionu. Infikovaný dokument se jmenoval „The Indians Way“ a byl to soubor RTF. Soubor byl vybaven nástrojem RoyalRoad exploit builder, který umístí zavaděč intel.wll do složky Word v počítači. Zavaděč se pokusí stáhnout další fázi infekce ze spool.jtjewifyn[.]com a spustit ji.

Nebylo by to poprvé, co hackeři použili malware RoyalRoad ke konečnému doručení. Další skupiny ATP, jako je Vicious Panda, také používají způsob doručení RoyalRoad. Naikon byl také viděn pomocí archivních souborů, které obsahují legitimní soubory naložené škodlivými DLL soubory. Tato metoda využívá Outlook a další legitimní spustitelné soubory k provedení kybernetického útoku na cíl. Zdá se, že Naikon APT se stal velmi zdatným ve skrývání se před očima.

Naikonův nakladač prvního stupně

Před nasazením Aria-body RAT provádí zavaděč první fáze na infikovaném systému řadu úkolů. Zavaděč je zodpovědný za zajištění stálosti na počítači oběti, často pomocí složky Po spuštění. Poté se užitečné zatížení vloží do jiného procesu, přičemž některými příklady cílených procesů jsou dllhost.exe a rundll32.exe. Zavaděč dešifruje svou konfiguraci a kontaktuje C&C, aby stáhl náklad další fáze – Aria-body RAT, který je poté dešifrován a načten.

cesta procesu naikon apt
Naikonova cesta procesu těla Aria

Bližší pohled na tělo Aria

Nedávné útoky provedené Naikonem opět používaly vlastní RAT těla Aria, pravděpodobně vyvinuté APT pro své účely. Název souboru datové části je to, co výzkumníci použili pro jeho jméno - aria-body-dllx86.dll. Vlastní RAT má funkce, které najdete ve většině ostatních RAT:

  • manipulace se soubory a adresáři
  • pořizování snímků obrazovky
  • vyhledávání souborů
  • spouštění souborů pomocí funkce ShellExecute
  • uzavření TCP relace
  • kontrola polohy systému oběti pomocí služby „checkip“ společnosti Amazon

Výzkumníci zaznamenali různé případy těla Aria, které měly také některé z následujících funkcí:

  • shromažďování dat USB
  • záznamník úhozů
  • reverzní ponožky proxy

Prvním úkolem Aria-body je seškrábat co nejvíce informací o systému oběti. Shromážděné podrobnosti zahrnují název hostitele, uživatelské jméno, verzi operačního systému, frekvenci CPU, klíč MachineGUID a veřejnou IP adresu. Shromážděný kus dat je zazipován náhodně vygenerovaným heslem, které je poté zašifrováno.

RAT může komunikovat se svými C&C servery pomocí HTTP nebo TCP. Který z protokolů se použije, je určen příznakem v konfiguraci zavaděče. Zazipovaná systémová data oběti se přenesou do C&C spolu se zašifrovaným heslem archivu. Po dokončení přenosu začne RAT poslouchat své C&C pro příchozí příkazy.

Trendy

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
14,963
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...