Naikon APT
Naikon نام یک APT (تهدید پایدار پیشرفته) است که گمان می رود منشا آن چین باشد. گروه هک Naikon برای اولین بار بیش از یک دهه پیش، در سال 2010 مشاهده شد. Naikon APT در سال 2015 زمانی که زیرساخت استفاده شده توسط کلاهبرداران سایبری توسط محققان بدافزار کشف شد، خبرساز شد. به لطف این افشاگری، یکی از اعضای گروه هکر نایکون توسط نیروهای انتظامی دستگیر شد. پس از این گاف، تحلیلگران امنیت سایبری فرض کردند که Naikon APT از کار افتاده است. با این حال، گروه هک Naikon اخیراً با تروجان درپشتی Aria-body دوباره ظهور کرده است - یک تهدید جدید که دارای چندین ویژگی است.
فهرست مطالب
حمله نیاکان به تلاش برای فرار از شناسایی
Naikon APT یک گروه هکری است که تمایل دارد مقامات و نهادهای دولتی را هدف قرار دهد. بیشتر حملات انجام شده توسط گروه هکر نایکون در فیلیپین، ویتنام، اندونزی، میانمار، برونئی و استرالیا متمرکز شده است. اکثر مؤسسات دولتی که توسط کلاهبرداران سایبری از Naikon APT هدف قرار می گیرند، معمولاً در بخش روابط خارجی یا صنعت علم و فناوری فعالیت می کنند. برخی از شرکتها و شرکتها که متعلق به دولت هستند، طبق گزارشها توسط Naikon APT نیز هدف قرار گرفتهاند.
با مشاهده زرادخانه هک Naikon APT، محققان بدافزار به این نتیجه رسیده اند که این افراد تمایل به انجام عملیات شناسایی و جاسوسی طولانی مدت دارند. این برای گروه های هکری که دولت ها و مقامات خارجی را هدف قرار می دهند بسیار معمول است. عملیات اخیر Naikon که شامل ابزار هک Aria-body فوق الذکر بود، دولت استرالیا را هدف قرار داد. هدف تروجان درپشتی Aria-body جمع آوری داده ها و در اختیار گرفتن کنترل سیستم های هدفمند مرتبط با دولت بود. این احتمال وجود دارد که پس از دستگیری یکی از اعضای Naikon APT در سال 2015، گروه هکر تصمیم گرفت برای جلوگیری از شناسایی توسط تحلیلگران بدافزار، فعالیت خود را در سکوت بیشتر آغاز کند. این احتمالاً کارشناسان را گمراه کرده است تا تصور کنند گروه هک نایکون بازنشسته شده است.
گروه هک Naikon بدافزار Aria-body را از طریق ایمیل های فیشینگ نیزه منتشر می کند. ایمیل های مورد بحث برای جلوگیری از ایجاد سوء ظن در مورد هدف ایجاد شده اند. ایمیلهای جعلی حاوی یک پیوست خراب هستند که هدف آن سوء استفاده از آسیبپذیری است که در سرویس Microsoft Office یافت میشود.
Naikon یک راه نجات جدید برای حملات هدفمند دریافت می کند
اگرچه Naikon سالها به ظاهر خاموش بود و برخی حتی حدس میزدند که APT پس از گزارش مفصلی در سال 2015 در مورد ساختار آن منحل شده است، اما اکنون یک بار دیگر سر خود را بالا برده است.
محققانی که با Check Point کار می کردند متوجه شدند که Naikon در چند سال گذشته به طور مداوم همان منطقه را هدف قرار داده است - کشورها و سازمان های واقع در منطقه آسیا و اقیانوسیه. مناطق مورد حمله نایکون شامل استرالیا، اندونزی، ویتنام، برونئی، تایلند و میانمار است. ابزار اصلی مورد استفاده در این حملات، درب پشتی بدنه Aria و ابزار RAT Naikon بود.
سازمانهایی که در حملات اخیر مورد هدف قرار گرفتهاند شامل وزارتخانههای دولتی و شرکتهای متعلق به دولت کشور مربوطه است. یک مشاهده کنجکاو این است که هنگامی که Naikon در یک نهاد خارجی جای پای خود را به دست آورد، سپس از آن برای گسترش بیشتر بدافزار استفاده می کند. یکی از این نمونه ها یک سفارت خارجی است که برای انتشار بدافزار به دولت کشور میزبان خود استفاده می شود. این رویکرد از مخاطبین شناخته شده و قابل اعتماد در داخل سفارت استفاده می کند که نفوذ را آسان تر می کند.
در حمله اخیر، محموله Aria-body از طریق یک فایل Rich Text Format به نام "The Indian Way.doc" تحویل داده شد. این فایل برای استفاده از اکسپلویت های خاص با استفاده از ابزار RoyalRoad مسلح شد. هنگامی که فایل Rich Text Format باز می شود، فایلی به نام "Intel.wll" را رها می کند، که به عنوان بارگیری عمل می کند که تلاش می کند بار مرحله دوم را از یک دامنه راه دور دانلود کند.
کارشناسان معتقدند هدف از حملات نایکون جمع آوری اطلاعات و جاسوسی از دولت هاست. بازیگران بد پشت Naikon APT میتوانند به فایلهای موجود در سیستمهای آلوده دسترسی داشته باشند و حتی ضربههای کلید را ثبت کنند و از صفحهنمایش عکس بگیرند. بخشی از دلیلی که APT برای مدت طولانی از شناسایی فعالیتهای اخیر خود طفره رفت این بود که Naikon از سرورهای دولتی استفاده میکرد که قبلاً بهعنوان نقاط فرمان و کنترل در معرض خطر قرار گرفته بودند.
مطمئناً Naikon APT هنوز دستکش های خود را آویزان نکرده است. با این حال، کلاهبرداران سایبری اقداماتی را انجام داده اند تا زیر رادار محققان امنیت سایبری باقی بمانند.
اهداف APT Naikon
مقایسه حملات اخیر با حملات چندین سال پیش نشان می دهد که Naikon APT همچنان به هدف قرار دادن همان مناطق ادامه می دهد. همانطور که گفته شد، اهداف پنج سال پیش آنها شامل دولتهای سراسر منطقه آسیا و اقیانوسیه بود و به نظر میرسد حملات اخیر آنها نیز همین کار را انجام میدهد.
یک نکته جالب در مورد این گروه این است که آنها به آرامی جای پای خود را در دولت های مختلف گسترش داده اند. این گروه این کار را با انجام حملات از سوی یک دولت نقض شده در تلاش برای آلوده کردن دولت دیگر انجام می دهد. یک مورد وجود داشت که یک سفارت خارجی ناآگاهانه اسناد آلوده را به دولت کشور میزبان ارسال کرد. این حادثه نشان میدهد که هکرها تا چه اندازه از مخاطبین مورد اعتماد برای نفوذ به اهداف جدید و توسعه شبکه جاسوسی خود بهرهبرداری میکنند.
با توجه به قابلیتها و اهداف Naikon APT، مشخص میشود که هدف از حملات، جاسوسی از دولتهای هدف و جمعآوری اطلاعات در مورد آنهاست. این گروه در حال جمعآوری اسناد خاص از اهداف خود در ادارات دولتی، و همچنین گرفتن دادهها از درایوهای قابل جابجایی، جمعآوری اسکرین شات از رایانههای آلوده و استفاده از دادههای به سرقت رفته برای جاسوسی است.
اگر همه اینها به اندازه کافی بد نبود، Naikon APT در فرار از تشخیص در هنگام عبور از شبکههای دولتی مهارت نشان داده است. این گروه این کار را با به خطر انداختن سرورهای داخل یک وزارتخانه آلوده و استفاده از آن رایانه ها به عنوان سرور فرمان و کنترل برای جمع آوری و ارسال داده های سرقت شده انجام می دهد. ردیابی آنها به لطف این روش عفونت تقریباً غیرممکن است. این یکی از راه هایی بود که آنها توانستند به مدت پنج سال از شناسایی اجتناب کنند.
زنجیره عفونت آریا-بدن
تحقیقات نشان میدهد که این گروه چندین راه مختلف برای آلوده کردن رایانهها با Aria-Body دارند. تحقیقات در مورد این گروه زمانی آغاز شد که محققان ایمیل مخربی را مشاهده کردند که توسط یک سفارت دولتی در این منطقه به دولت ایالت استرالیا ارسال شده بود. سند آلوده "راه سرخپوستان" نام داشت و یک فایل RTF بود. فایل با سازنده اکسپلویت RoyalRoad مسلح شده بود، که بارکننده intel.wll را در پوشه Word در رایانه رها می کند. لودر تلاش می کند مرحله بعدی آلودگی را از spool.jtjewifyn[.]com دانلود کرده و آن را اجرا کند.
این اولین باری نیست که هکرها از بدافزار RoyalRoad برای تحویل نهایی استفاده میکنند. سایر گروه های ATP مانند Vicious Panda نیز از روش تحویل RoyalRoad استفاده می کنند. Naikon همچنین از فایلهای بایگانی استفاده میکند که حاوی فایلهای قانونی بارگذاری شده با فایلهای DLL مخرب هستند. این روش از Outlook و سایر فایل های اجرایی قانونی برای انجام یک حمله سایبری به یک هدف استفاده می کند. به نظر می رسد Naikon APT در مخفی شدن در معرض دید بسیار ماهر است.
لودر مرحله اول نایکون
قبل از استقرار Aria-body RAT، لودر مرحله اول تعدادی از وظایف را بر روی سیستم آلوده انجام می دهد. لودر مسئول اطمینان از پایداری دستگاه قربانی است که اغلب از پوشه Startup استفاده می کند. سپس payload خود را به فرآیند دیگری تزریق می کند، با نمونه هایی از فرآیندهای هدفمند dllhost.exe و rundll32.exe. لودر پیکربندی خود را رمزگشایی میکند و با C&C تماس میگیرد تا بار مرحله بعدی را دانلود کند - Aria-body RAT، که سپس رمزگشایی و بارگذاری میشود.
مسیر فرآیند بدن آریا نایکون
نگاهی دقیق تر به بدن آریا
حملات اخیر انجام شده توسط Naikon بار دیگر از RAT سفارشی Aria-body استفاده شده است که احتمالاً توسط APT برای اهداف خود ساخته شده است. نام فایل محموله همان چیزی است که محققان برای نام آن استفاده کردند - aria-body-dllx86.dll. RAT سفارشی دارای عملکردی است که در اکثر RATهای دیگر یافت می شود:
- دستکاری فایل ها و دایرکتوری ها
- گرفتن اسکرین شات
- جستجو برای فایل ها
- راه اندازی فایل ها با استفاده از تابع ShellExecute
- بستن یک جلسه TCP
- بررسی مکان سیستم قربانی، با استفاده از سرویس «چک» آمازون
محققان نمونه های مختلفی از Aria-body را شناسایی کرده اند که برخی از عملکردهای زیر را نیز داشت:
- جمع آوری داده های USB
- صفحه کلید
- پروکسی جوراب معکوس
اولین وظیفه Aria-body این است که تا حد امکان اطلاعات بیشتری در مورد سیستم قربانی جمع آوری کند. جزئیات جمع آوری شده شامل نام میزبان، نام کاربری، نسخه سیستم عامل، فرکانس CPU، کلید MachineGUID و آدرس IP عمومی است. تکه داده جمع آوری شده با یک رمز عبور تصادفی ایجاد شده فشرده می شود که سپس رمزگذاری می شود.
RAT می تواند با سرورهای C&C خود با استفاده از HTTP یا TCP ارتباط برقرار کند. کدام یک از پروتکل ها استفاده می شود توسط یک پرچم در پیکربندی لودر تعیین می شود. داده های سیستم زیپ شده قربانی همراه با رمز عبور آرشیو رمزگذاری شده به C&C منتقل می شود. پس از تکمیل انتقال، RAT شروع به گوش دادن به C&C خود برای دستورات دریافتی می کند.