Άδειες χρήσης πολλών συσκευών (εκπτώσεις όγκου)
Threat Database Advanced Persistent Threat (APT) Naikon APT

Naikon APT

Μέχρι το GoldSparrow το Advanced Persistent Threat (APT)
Μετάφραση σε:
Ελληνικά

naikon διαμ Naikon είναι το όνομα ενός APT (Advanced Persistent Threat) που πιστεύεται ότι προέρχεται από την Κίνα. Η ομάδα hacking Naikon εντοπίστηκε για πρώτη φορά πριν από μια δεκαετία, το 2010. Το Naikon APT έγινε πρωτοσέλιδο το 2015, όταν η υποδομή που χρησιμοποιούσαν οι απατεώνες του κυβερνοχώρου αποκαλύφθηκε από ερευνητές κακόβουλου λογισμικού. Χάρη σε αυτή την αποκάλυψη, ένα από τα μέλη της ομάδας χάκερ Naikon συνελήφθη από τις αρχές επιβολής του νόμου. Μετά από αυτή τη γκάφα, οι αναλυτές κυβερνοασφάλειας υπέθεσαν ότι το Naikon APT είχε τεθεί εκτός λειτουργίας. Ωστόσο, η ομάδα hacking Naikon επανεμφανίστηκε πρόσφατα με το Aria-body backdoor Trojan – μια νέα απειλή που έχει πολλά χαρακτηριστικά.

Ο Niakon επιτίθεται σε απόπειρα αποφυγής εντοπισμού

Το Naikon APT είναι μια ομάδα hacking που τείνει να στοχεύει κυβερνητικούς αξιωματούχους και θεσμούς. Οι περισσότερες από τις επιθέσεις που πραγματοποιούνται από την ομάδα hacking Naikon επικεντρώνονται στις Φιλιππίνες, το Βιετνάμ, την Ινδονησία, τη Μιανμάρ, το Μπρουνέι και την Αυστραλία. Τα περισσότερα από τα κυβερνητικά ιδρύματα που στοχοποιούνται από τους απατεώνες του κυβερνοχώρου από το Naikon APT δραστηριοποιούνται συνήθως στον τομέα των εξωτερικών υποθέσεων ή στη βιομηχανία επιστήμης και τεχνολογίας. Ορισμένες επιχειρήσεις και εταιρείες, οι οποίες ανήκουν στην κυβέρνηση, φέρεται να έχουν γίνει στόχος της Naikon APT επίσης.

Παρατηρώντας το οπλοστάσιο hacking του Naikon APT, οι ερευνητές κακόβουλου λογισμικού κατέληξαν στο συμπέρασμα ότι αυτά τα άτομα τείνουν να πραγματοποιούν μακροχρόνιες επιχειρήσεις αναγνώρισης και κατασκοπείας. Αυτό είναι πολύ χαρακτηριστικό για ομάδες χάκερ που στοχεύουν ξένες κυβερνήσεις και αξιωματούχους. Η πρόσφατη επιχείρηση Naikon που αφορούσε το προαναφερθέν εργαλείο hacking Aria-body στόχευσε την αυστραλιανή κυβέρνηση. Ο στόχος του Aria-body backdoor Trojan ήταν να συλλέξει δεδομένα και να αναλάβει τον έλεγχο των στοχευμένων συστημάτων που συνδέονται με την κυβέρνηση. Είναι πιθανό ότι μετά τη σύλληψη ενός από τα μέλη του Naikon APT το 2015, η ομάδα hacking αποφάσισε να αρχίσει να λειτουργεί πιο αθόρυβα για να αποφύγει τον εντοπισμό από αναλυτές κακόβουλου λογισμικού. Αυτό πιθανότατα παραπλάνησε τους ειδικούς ώστε να πιστέψουν ότι η ομάδα hacking Naikon έχει αποσυρθεί.

Η ομάδα hacking Naikon διαδίδει το κακόβουλο λογισμικό Aria-body μέσω emails spear-phishing. Τα εν λόγω μηνύματα ηλεκτρονικού ταχυδρομείου δημιουργήθηκαν για να αποφευχθεί η δημιουργία υποψιών για τον στόχο. Τα πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου θα περιέχουν ένα κατεστραμμένο συνημμένο, στόχος του οποίου είναι η εκμετάλλευση μιας ευπάθειας που μπορεί να βρεθεί στην υπηρεσία Microsoft Office.

Η Naikon αποκτά μια νέα γραμμή ζωής για στοχευμένες επιθέσεις

Παρόλο που η Naikon παρέμενε φαινομενικά αδρανής για χρόνια και ορισμένοι υπέθεταν ακόμη και ότι η APT διαλύθηκε μετά από μια λεπτομερή έκθεση του 2015 για τη δομή της, τώρα έχει για άλλη μια φορά το κεφάλι της.

Ερευνητές που εργάζονται με το Check Point ανακάλυψαν ότι η Naikon πέρασε τα τελευταία χρόνια στοχεύοντας συνεχώς την ίδια περιοχή – χώρες και οργανισμούς που βρίσκονται στην περιοχή της Ασίας-Ειρηνικού. Τα εδάφη που δέχθηκαν επίθεση από το Naikon περιλαμβάνουν την Αυστραλία, την Ινδονησία, το Βιετνάμ, το Μπρουνέι, την Ταϊλάνδη και τη Μιανμάρ. Το κύριο εργαλείο που χρησιμοποιήθηκε σε αυτές τις επιθέσεις ήταν το εργαλείο Aria-body backdoor και το εργαλείο RAT της Naikon.

Οι οργανώσεις που στοχοποιήθηκαν σε πιο πρόσφατες επιθέσεις περιλαμβάνουν κυβερνητικά υπουργεία και εταιρείες που ανήκουν στην κυβέρνηση της αντίστοιχης χώρας. Μια περίεργη παρατήρηση είναι ότι μόλις η Naikon αποκτήσει βάση σε μια ξένη οντότητα, στη συνέχεια τη χρησιμοποιεί για να εξαπλώσει περαιτέρω κακόβουλο λογισμικό. Ένα τέτοιο παράδειγμα είναι μια ξένη πρεσβεία που χρησιμοποιήθηκε για τη διάδοση κακόβουλου λογισμικού στην κυβέρνηση της χώρας υποδοχής. Αυτή η προσέγγιση χρησιμοποιεί γνωστές και αξιόπιστες επαφές εντός της πρεσβείας, γεγονός που διευκολύνει τη διείσδυση.

Σε μια πρόσφατη επίθεση, το ωφέλιμο φορτίο Aria-body παραδόθηκε μέσω ενός αρχείου μορφής εμπλουτισμένου κειμένου με το όνομα "The Indian Way.doc". Το αρχείο οπλίστηκε για τη χρήση συγκεκριμένων εκμεταλλεύσεων χρησιμοποιώντας το εργαλείο RoyalRoad. Μόλις ανοίξει το αρχείο Μορφή εμπλουτισμένου κειμένου, απορρίπτει ένα αρχείο με το όνομα "Intel.wll", το οποίο λειτουργεί ως φορτωτής που επιχειρεί να πραγματοποιήσει λήψη του ωφέλιμου φορτίου δεύτερου σταδίου από έναν απομακρυσμένο τομέα.

Οι ειδικοί πιστεύουν ότι σκοπός των επιθέσεων της Naikon είναι η συλλογή πληροφοριών και η κατασκοπεία κυβερνήσεων. Οι κακοί ηθοποιοί πίσω από το Naikon APT μπορούν να έχουν πρόσβαση σε αρχεία σε μολυσμένα συστήματα, ακόμη και να καταγράφουν πατήματα πλήκτρων και να τραβούν στιγμιότυπα οθόνης. Μέρος του λόγου για τον οποίο το APT απέφυγε να εντοπίσει τις πιο πρόσφατες δραστηριότητές του για τόσο μεγάλο χρονικό διάστημα ήταν ότι η Naikon χρησιμοποίησε κυβερνητικούς διακομιστές που είχαν ήδη παραβιαστεί ως σημεία διοίκησης και ελέγχου.

Το Naikon APT δεν έχει κλείσει ακόμα τα γάντια του, σίγουρα. Ωστόσο, οι απατεώνες του κυβερνοχώρου έχουν λάβει ορισμένα μέτρα για να παραμείνουν στο ραντάρ των ερευνητών κυβερνοασφάλειας.

Naikon APT Targets

Η σύγκριση των πρόσφατων επιθέσεων με εκείνες πριν από αρκετά χρόνια δείχνει ότι η Naikon APT συνεχίζει να στοχεύει τις ίδιες περιοχές. Όπως αναφέρθηκε, οι στόχοι τους πριν από πέντε χρόνια περιλάμβαναν κυβερνήσεις σε όλη την περιοχή Ασίας-Ειρηνικού και οι πρόσφατες επιθέσεις τους φαίνεται να κάνουν το ίδιο.

Ένα ενδιαφέρον πράγμα που πρέπει να σημειωθεί σχετικά με την ομάδα είναι ότι έχουν σιγά-σιγά επεκτείνει τη θέση τους σε διάφορες κυβερνήσεις. Η ομάδα το κάνει αυτό εξαπολύοντας επιθέσεις από μια παραβιασμένη κυβέρνηση σε μια προσπάθεια να μολύνει μια άλλη κυβέρνηση. Υπήρξε μια περίπτωση όπου μια ξένη πρεσβεία έστειλε εν αγνοία της μολυσμένα έγγραφα στην κυβέρνηση της χώρας υποδοχής της. Αυτό το περιστατικό δείχνει πόσο αποτελεσματικά οι χάκερ εκμεταλλεύονται αξιόπιστες επαφές για να διεισδύσουν σε νέους στόχους και να αναπτύξουν περαιτέρω το δίκτυο κατασκοπείας τους.

Δεδομένων των δυνατοτήτων και των στόχων του Naikon APT, γίνεται σαφές ότι ο σκοπός πίσω από τις επιθέσεις είναι η κατασκοπεία των κυβερνήσεων-στόχων και η συλλογή πληροφοριών για αυτές. Η ομάδα συλλέγει συγκεκριμένα έγγραφα από τους στόχους της εντός των κυβερνητικών υπηρεσιών, και επίσης αρπάζει δεδομένα από αφαιρούμενες μονάδες δίσκου, συλλέγει στιγμιότυπα οθόνης μολυσμένων υπολογιστών και χρησιμοποιεί τα κλεμμένα δεδομένα για κατασκοπεία.

Αν όλα αυτά δεν ήταν αρκετά άσχημα, η Naikon APT έχει αποδειχθεί ικανή να αποφύγει τον εντοπισμό όταν διέρχεται από κυβερνητικά δίκτυα. Η ομάδα το κάνει αυτό διακυβεύοντας διακομιστές σε ένα μολυσμένο υπουργείο και χρησιμοποιώντας αυτούς τους υπολογιστές ως διακομιστή εντολών και ελέγχου για τη συλλογή και αποστολή των κλεμμένων δεδομένων. Είναι σχεδόν αδύνατο να τα εντοπίσουμε χάρη σε αυτή τη μέθοδο μόλυνσης. Αυτός ήταν ένας από τους τρόπους με τους οποίους κατάφεραν να αποφύγουν τον εντοπισμό για πέντε χρόνια.

Η Αλυσίδα Λοίμωξης Άρια-Σώμα

Η έρευνα δείχνει ότι η ομάδα έχει πολλούς διαφορετικούς τρόπους να μολύνει τους υπολογιστές με το Aria-Body. Η έρευνα για την ομάδα ξεκίνησε όταν οι ερευνητές εντόπισαν ένα κακόβουλο email που εστάλη στην κυβέρνηση της αυστραλιανής πολιτείας από μια κυβερνητική πρεσβεία στην περιοχή. Το μολυσμένο έγγραφο ονομαζόταν «The Indians Way» και ήταν αρχείο RTF. Το αρχείο οπλίστηκε με το πρόγραμμα δημιουργίας εκμετάλλευσης RoyalRoad, το οποίο ρίχνει το πρόγραμμα φόρτωσης intel.wll στο φάκελο Word του υπολογιστή. Ο φορτωτής επιχειρεί να πραγματοποιήσει λήψη του επόμενου σταδίου μόλυνσης από το spool.jtjewifyn[.]com και να το εκτελέσει.

Αυτή δεν θα είναι η πρώτη φορά που χάκερ χρησιμοποιούν το κακόβουλο λογισμικό RoyalRoad για να κάνουν την τελική παράδοση. Άλλες ομάδες ATP, όπως το Vicious Panda, χρησιμοποιούν επίσης τη μέθοδο παράδοσης RoyalRoad. Το Naikon έχει επίσης δει να χρησιμοποιεί αρχεία αρχειοθέτησης που περιέχουν νόμιμα αρχεία φορτωμένα με κακόβουλα αρχεία DLL. Αυτή η μέθοδος εκμεταλλεύεται το Outlook και άλλα νόμιμα εκτελέσιμα αρχεία για να πραγματοποιήσει μια κυβερνοεπίθεση σε έναν στόχο. Το Naikon APT φαίνεται να έχει καταφέρει να κρύβεται σε κοινή θέα.

Naikon's First Stage Loader

Πριν από την ανάπτυξη του Aria-body RAT, ο φορτωτής πρώτου σταδίου εκτελεί έναν αριθμό εργασιών στο μολυσμένο σύστημα. Ο φορτωτής είναι υπεύθυνος για τη διασφάλιση της επιμονής στο μηχάνημα του θύματος, χρησιμοποιώντας συχνά το φάκελο Startup. Στη συνέχεια, το ωφέλιμο φορτίο εγχέεται σε μια άλλη διεργασία, με ορισμένα παραδείγματα στοχευμένων διαδικασιών να είναι τα dllhost.exe και rundll32.exe. Ο φορτωτής αποκρυπτογραφεί τη διαμόρφωσή του και επικοινωνεί με το C&C για να πραγματοποιήσει λήψη του επόμενου ωφέλιμου φορτίου - το Aria-body RAT, το οποίο στη συνέχεια αποκρυπτογραφείται και φορτώνεται.

naikon apt διαδρομή διαδικασίας
Naikon's Aria-body Process Path

Μια πιο προσεκτική ματιά στο σώμα της Άριας

Οι πρόσφατες επιθέσεις που πραγματοποίησε η Naikon χρησιμοποίησαν για άλλη μια φορά το προσαρμοσμένο RAT Aria-body, που πιθανότατα αναπτύχθηκε από το APT για τους σκοπούς του. Το όνομα αρχείου του ωφέλιμου φορτίου είναι αυτό που χρησιμοποίησαν οι ερευνητές για το όνομά του - aria-body-dllx86.dll. Το προσαρμοσμένο RAT έχει τη λειτουργικότητα που υπάρχει στους περισσότερους άλλους RAT:

  • χειρισμός αρχείων και καταλόγων
  • λήψη στιγμιότυπων οθόνης
  • αναζήτηση αρχείων
  • εκκίνηση αρχείων χρησιμοποιώντας τη συνάρτηση ShellExecute
  • κλείσιμο μιας συνεδρίας TCP
  • έλεγχος της τοποθεσίας ενός συστήματος θύματος, χρησιμοποιώντας την υπηρεσία «checkip» της Amazon

Οι ερευνητές εντόπισαν διαφορετικές περιπτώσεις Aria-body που είχαν επίσης μερικές από τις ακόλουθες λειτουργίες:

  • συλλογή δεδομένων USB
  • καταγραφικό πληκτρολόγησης
  • αντίστροφος πληρεξούσιος κάλτσες

Το πρώτο καθήκον του Aria-body είναι να συλλέξει όσο το δυνατόν περισσότερες πληροφορίες για το σύστημα του θύματος. Οι λεπτομέρειες που συλλέγονται περιλαμβάνουν όνομα κεντρικού υπολογιστή, όνομα χρήστη, έκδοση λειτουργικού συστήματος, συχνότητα CPU, κλειδί MachineGUID και δημόσια διεύθυνση IP. Το συλλεγμένο κομμάτι δεδομένων συμπιέζεται με έναν τυχαία δημιουργημένο κωδικό πρόσβασης που στη συνέχεια κρυπτογραφείται.

Το RAT μπορεί να επικοινωνεί με τους διακομιστές C&C του χρησιμοποιώντας είτε HTTP είτε TCP. Ποιο από τα πρωτόκολλα χρησιμοποιείται καθορίζεται από μια σημαία στη διαμόρφωση του φορτωτή. Τα συμπιεσμένα δεδομένα συστήματος του θύματος μεταφέρονται στο C&C μαζί με τον κρυπτογραφημένο κωδικό πρόσβασης αρχείου. Μετά την ολοκλήρωση της μεταφοράς, το RAT αρχίζει να ακούει το C&C του για εισερχόμενες εντολές.

Τάσεις

Απάτη ηλεκτρονικού ταχυδρομείου «YouPorn».

Spam
Μετά από ενδελεχή εξέταση των μηνυμάτων ηλεκτρονικού ταχυδρομείου «YouPorn», ειδικοί στον τομέα της κυβερνοασφάλειας επιβεβαίωσαν τον δόλιο χαρακτήρα τους. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου αποτελούν μέρος διαφόρων παραλλαγών ανεπιθύμητης αλληλογραφίας, όλα μοιάζουν με τακτικές εκτροπής. Το κοινό νήμα μεταξύ αυτών των παραπλανητικών μηνυμάτων ηλεκτρονικού ταχυδρομείου είναι ένας...

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
14,963
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...