Naikon APT

Naikon er navnet på en APT (Advanced Persistent Threat), der menes at stamme fra Kina. Naikon-hackergruppen blev første gang opdaget for over et årti siden, tilbage i 2010. Naikon APT skabte overskrifter i 2015, da infrastrukturen brugt af cyberskurkene blev afsløret af malware-forskere. Takket være denne afsløring blev et af medlemmerne af Naikon hackergruppen fanget af retshåndhævelsen. Efter denne tabbe antog cybersikkerhedsanalytikere, at Naikon APT var gået konkurs. Imidlertid har den Naikon hacking gruppe reemerged med arien-krop bagdør Trojan nylig - en ny trussel, som har et væld af funktioner.

Niakon angriber forsøg på at undgå opdagelse

Naikon APT er en hackergruppe, der har tendens til at målrette embedsmænd og institutioner. De fleste af angrebene udført af hackergruppen Naikon er koncentreret i Filippinerne, Vietnam, Indonesien, Myanmar, Brunei og Australien. De fleste af de statslige institutioner, der er målrettet af cyberskurke fra Naikon APT, opererer normalt i udenrigssektoren eller videnskabs- og teknologiindustrien. Nogle virksomheder og virksomheder, som er statsejede, er angiveligt også blevet målrettet af Naikon APT.

Ved at observere hacking-arsenalet fra Naikon APT har malware-forskere konkluderet, at disse personer har en tendens til at udføre langsigtede rekognoscerings- og spionageoperationer. Dette er meget typisk for hackergrupper, der retter sig mod udenlandske regeringer og embedsmænd. Den nylige Naikon-operation, der involverede det førnævnte Aria-body hacking-værktøj, var rettet mod den australske regering. Målet med Aria-body bagdør-trojaneren var at indsamle data og overtage kontrol over de målrettede regeringsforbundne systemer. Det er sandsynligt, at efter at et af medlemmerne af Naikon APT blev fanget tilbage i 2015, besluttede hackergruppen at begynde at arbejde mere lydløst for at undgå opdagelse af malware-analytikere. Dette vildledte sandsynligvis eksperterne til at tro, at Naikons hackergruppe er gået på pension.

Naikon-hackinggruppen udbreder Aria-body-malwaren via spear-phishing-e-mails. De pågældende e-mails blev lavet for at undgå at rejse mistanke i målet specifikt. De falske e-mails ville indeholde en beskadiget vedhæftet fil, hvis mål er at udnytte en sårbarhed, der kan findes i Microsoft Office-tjenesten.

Naikon får en ny livline til målrettede angreb

Selvom Naikon forblev tilsyneladende sovende i årevis, og nogle spekulerede endda i, at APT er blevet opløst efter en detaljeret rapport fra 2015 om dens struktur, har den nu igen rejst hovedet.

Forskere, der arbejder med Check Point, opdagede, at Naikon brugte de sidste par år på kontinuerligt at målrette mod den samme region – lande og organisationer i Asien og Stillehavsområdet. Territorier angrebet af Naikon omfatter Australien, Indonesien, Vietnam, Brunei, Thailand og Myanmar. Det vigtigste værktøj, der blev brugt i disse angreb, var Naikons Aria-body bagdør og RAT-værktøj.

Organisationerne, der er målrettet i nyere angreb, omfatter regeringsministerier og selskaber ejet af det respektive lands regering. En besynderlig observation er, at når Naikon har fået fodfæste i en udenlandsk enhed, bruger den den til yderligere at sprede malware. Et sådant eksempel er en udenlandsk ambassade, der blev brugt til at sprede malware til regeringen i dets værtsland. Denne tilgang bruger kendte og betroede kontakter inden for ambassaden, hvilket gør infiltration lettere.

I et nyligt angreb blev Aria-body-nyttelasten leveret gennem en Rich Text Format-fil ved navn "The Indian Way.doc". Filen blev bevæbnet til at bruge visse udnyttelser ved hjælp af RoyalRoad- værktøjet. Når Rich Text Format-filen er åbnet, taber den en fil med navnet "Intel.wll", som fungerer som en indlæser, der forsøger at downloade anden-trins nyttelast fra et eksternt domæne.

Eksperter mener, at formålet med Naikons angreb er at indsamle efterretninger og spionere mod regeringer. De dårlige skuespillere bag Naikon APT kan få adgang til filer på inficerede systemer og endda logge tastetryk og tage skærmbilleder. En del af grunden til, at APT undgik opdagelse af sine nyere aktiviteter så længe, var, at Naikon brugte regeringsservere, der allerede var kompromitteret, som dets kommando- og kontrolpunkter.

Naikon APT har bestemt ikke hængt handskerne op endnu. Cyberskurkene har dog truffet nogle foranstaltninger for at forblive under cybersikkerhedsforskernes radar.

Naikon APT-mål

Sammenligning af de seneste angreb med dem fra flere år siden viser, at Naikon APT fortsætter med at målrette de samme regioner. Som nævnt omfattede deres mål for fem år siden regeringer i hele Asien-Stillehavsområdet, og deres seneste angreb ser ud til at gøre det samme.

En interessant ting at bemærke om gruppen er, at de langsomt har udvidet deres fodfæste i forskellige regeringer. Det gør gruppen ved at lancere angreb fra en brudt regering i et forsøg på at inficere en anden regering. Der var et tilfælde, hvor en udenlandsk ambassade ubevidst sendte inficerede dokumenter til regeringen i sit værtsland. Denne hændelse viser, hvor effektivt hackerne udnytter betroede kontakter til at infiltrere nye mål og videreudvikle deres spionagenetværk.

I betragtning af Naikon APT's muligheder og mål bliver det klart, at formålet bag angrebene er at spionere på målregeringerne og indsamle efterretninger om dem. Gruppen indsamler specifikke dokumenter fra deres mål inden for regeringsafdelinger og henter også data fra flytbare drev, indsamler skærmbilleder af inficerede computere og bruger de stjålne data til spionage.

Hvis alt det ikke var slemt nok, har Naikon APT vist sig dygtig til at undgå registrering, når den passerer gennem offentlige netværk. Gruppen gør dette ved at kompromittere servere i et inficeret ministerium og bruge disse computere som en kommando- og kontrolserver til at indsamle og sende de stjålne data. Det er næsten umuligt at spore dem takket være denne infektionsmetode. Dette var en af måderne, hvorpå de var i stand til at undgå opdagelse i fem år.

Aria-Kropsinfektionskæden

Forskning viser, at gruppen har flere forskellige måder at inficere computere med Aria-Body på. Undersøgelsen af gruppen startede, da forskere opdagede en ondsindet e-mail sendt til den australske delstatsregering af en regeringsambassade i regionen. Det inficerede dokument blev kaldt "The Indians Way" og var en RTF-fil. Filen blev bevæbnet med RoyalRoad exploit builder, som dropper intel.wll-indlæseren i Word-mappen på computeren. Indlæseren forsøger at downloade det næste infektionstrin fra spool.jtjewifyn[.]com og udføre det.

Dette ville ikke være første gang, at hackere har brugt RoyalRoad malware til at lave den endelige levering. Andre ATP-grupper, såsom Vicious Panda, bruger også RoyalRoad-leveringsmetoden. Naikon er også blevet set ved at bruge arkivfiler, der indeholder legitime filer indlæst med ondsindede DLL-filer. Denne metode udnytter Outlook og andre legitime eksekverbare filer til at udføre et cyberangreb på et mål. Naikon APT ser ud til at være blevet meget dygtige til at gemme sig i almindeligt syn.

Naikons første-trins-læsser

Inden Aria-body RAT installeres, udfører første-trins-loaderen en række opgaver på det inficerede system. Indlæseren er ansvarlig for at sikre vedholdenhed på ofrets maskine, ofte ved hjælp af Startup-mappen. Derefter sprøjter nyttelasten sig selv ind i en anden proces, hvor nogle eksempler på målrettede processer er dllhost.exe og rundll32.exe. Indlæseren dekrypterer sin konfiguration og kontakter C&C for at downloade næste trins nyttelast - Aria-body RAT, som derefter dekrypteres og indlæses.

Naikons Aria-body-processti

Et nærmere kig på Aria-kroppen

De seneste angreb udført af Naikon brugte igen Aria-body custom RAT, sandsynligvis udviklet af APT til dets formål. Filnavnet på nyttelasten er det, forskerne brugte til dets navn - aria-body-dllx86.dll. Den brugerdefinerede RAT har den funktionalitet, der findes i de fleste andre RAT'er:

• manipulation af filer og mapper
• tage skærmbilleder
• søger efter filer
• lancering af filer ved hjælp af ShellExecute-funktionen
• lukning af en TCP-session
• kontrol af et offersystems placering ved hjælp af Amazons 'checkip'-tjeneste

Forskere har set forskellige forekomster af Aria-body, der også havde nogle af følgende funktioner:

• indsamling af USB-data
• tastetryk logger
• omvendt strømper proxy

Aria-bodys første opgave er at skrabe så meget information om offersystemet som muligt. De indsamlede detaljer inkluderer værtsnavn, brugernavn, OS-version, CPU-frekvens, MachineGUID-nøgle og offentlig IP-adresse. Den indsamlede del af data zippes med en tilfældigt genereret adgangskode, der derefter krypteres.

RAT kan kommunikere med sine C&C-servere ved hjælp af enten HTTP eller TCP. Hvilken af protokollerne der bruges, bestemmes af et flag i loaderens konfiguration. Offerets zippede systemdata overføres til C&C sammen med den krypterede arkivadgangskode. Når overførslen er fuldført, begynder RAT at lytte til sin C&C for indgående kommandoer.