مجوزهای چند دستگاه (تخفیف حجمی)
Threat Database Advanced Persistent Threat (APT) Naikon APT

Naikon APT

تا GoldSparrow در Advanced Persistent Threat (APT)
ترجمه به:
فارسی

آپارتمان نایکون Naikon نام یک APT (تهدید پایدار پیشرفته) است که گمان می رود منشا آن چین باشد. گروه هک Naikon برای اولین بار بیش از یک دهه پیش، در سال 2010 مشاهده شد. Naikon APT در سال 2015 زمانی که زیرساخت استفاده شده توسط کلاهبرداران سایبری توسط محققان بدافزار کشف شد، خبرساز شد. به لطف این افشاگری، یکی از اعضای گروه هکر نایکون توسط نیروهای انتظامی دستگیر شد. پس از این گاف، تحلیلگران امنیت سایبری فرض کردند که Naikon APT از کار افتاده است. با این حال، گروه هک Naikon اخیراً با تروجان درپشتی Aria-body دوباره ظهور کرده است - یک تهدید جدید که دارای چندین ویژگی است.

حمله نیاکان به تلاش برای فرار از شناسایی

Naikon APT یک گروه هکری است که تمایل دارد مقامات و نهادهای دولتی را هدف قرار دهد. بیشتر حملات انجام شده توسط گروه هکر نایکون در فیلیپین، ویتنام، اندونزی، میانمار، برونئی و استرالیا متمرکز شده است. اکثر مؤسسات دولتی که توسط کلاهبرداران سایبری از Naikon APT هدف قرار می گیرند، معمولاً در بخش روابط خارجی یا صنعت علم و فناوری فعالیت می کنند. برخی از شرکت‌ها و شرکت‌ها که متعلق به دولت هستند، طبق گزارش‌ها توسط Naikon APT نیز هدف قرار گرفته‌اند.

با مشاهده زرادخانه هک Naikon APT، محققان بدافزار به این نتیجه رسیده اند که این افراد تمایل به انجام عملیات شناسایی و جاسوسی طولانی مدت دارند. این برای گروه های هکری که دولت ها و مقامات خارجی را هدف قرار می دهند بسیار معمول است. عملیات اخیر Naikon که شامل ابزار هک Aria-body فوق الذکر بود، دولت استرالیا را هدف قرار داد. هدف تروجان درپشتی Aria-body جمع آوری داده ها و در اختیار گرفتن کنترل سیستم های هدفمند مرتبط با دولت بود. این احتمال وجود دارد که پس از دستگیری یکی از اعضای Naikon APT در سال 2015، گروه هکر تصمیم گرفت برای جلوگیری از شناسایی توسط تحلیلگران بدافزار، فعالیت خود را در سکوت بیشتر آغاز کند. این احتمالاً کارشناسان را گمراه کرده است تا تصور کنند گروه هک نایکون بازنشسته شده است.

گروه هک Naikon بدافزار Aria-body را از طریق ایمیل های فیشینگ نیزه منتشر می کند. ایمیل های مورد بحث برای جلوگیری از ایجاد سوء ظن در مورد هدف ایجاد شده اند. ایمیل‌های جعلی حاوی یک پیوست خراب هستند که هدف آن سوء استفاده از آسیب‌پذیری است که در سرویس Microsoft Office یافت می‌شود.

Naikon یک راه نجات جدید برای حملات هدفمند دریافت می کند

اگرچه Naikon سال‌ها به ظاهر خاموش بود و برخی حتی حدس می‌زدند که APT پس از گزارش مفصلی در سال 2015 در مورد ساختار آن منحل شده است، اما اکنون یک بار دیگر سر خود را بالا برده است.

محققانی که با Check Point کار می کردند متوجه شدند که Naikon در چند سال گذشته به طور مداوم همان منطقه را هدف قرار داده است - کشورها و سازمان های واقع در منطقه آسیا و اقیانوسیه. مناطق مورد حمله نایکون شامل استرالیا، اندونزی، ویتنام، برونئی، تایلند و میانمار است. ابزار اصلی مورد استفاده در این حملات، درب پشتی بدنه Aria و ابزار RAT Naikon بود.

سازمان‌هایی که در حملات اخیر مورد هدف قرار گرفته‌اند شامل وزارتخانه‌های دولتی و شرکت‌های متعلق به دولت کشور مربوطه است. یک مشاهده کنجکاو این است که هنگامی که Naikon در یک نهاد خارجی جای پای خود را به دست آورد، سپس از آن برای گسترش بیشتر بدافزار استفاده می کند. یکی از این نمونه ها یک سفارت خارجی است که برای انتشار بدافزار به دولت کشور میزبان خود استفاده می شود. این رویکرد از مخاطبین شناخته شده و قابل اعتماد در داخل سفارت استفاده می کند که نفوذ را آسان تر می کند.

در حمله اخیر، محموله Aria-body از طریق یک فایل Rich Text Format به نام "The Indian Way.doc" تحویل داده شد. این فایل برای استفاده از اکسپلویت های خاص با استفاده از ابزار RoyalRoad مسلح شد. هنگامی که فایل Rich Text Format باز می شود، فایلی به نام "Intel.wll" را رها می کند، که به عنوان بارگیری عمل می کند که تلاش می کند بار مرحله دوم را از یک دامنه راه دور دانلود کند.

کارشناسان معتقدند هدف از حملات نایکون جمع آوری اطلاعات و جاسوسی از دولت هاست. بازیگران بد پشت Naikon APT می‌توانند به فایل‌های موجود در سیستم‌های آلوده دسترسی داشته باشند و حتی ضربه‌های کلید را ثبت کنند و از صفحه‌نمایش عکس بگیرند. بخشی از دلیلی که APT برای مدت طولانی از شناسایی فعالیت‌های اخیر خود طفره رفت این بود که Naikon از سرورهای دولتی استفاده می‌کرد که قبلاً به‌عنوان نقاط فرمان و کنترل در معرض خطر قرار گرفته بودند.

مطمئناً Naikon APT هنوز دستکش های خود را آویزان نکرده است. با این حال، کلاهبرداران سایبری اقداماتی را انجام داده اند تا زیر رادار محققان امنیت سایبری باقی بمانند.

اهداف APT Naikon

مقایسه حملات اخیر با حملات چندین سال پیش نشان می دهد که Naikon APT همچنان به هدف قرار دادن همان مناطق ادامه می دهد. همانطور که گفته شد، اهداف پنج سال پیش آنها شامل دولت‌های سراسر منطقه آسیا و اقیانوسیه بود و به نظر می‌رسد حملات اخیر آنها نیز همین کار را انجام می‌دهد.

یک نکته جالب در مورد این گروه این است که آنها به آرامی جای پای خود را در دولت های مختلف گسترش داده اند. این گروه این کار را با انجام حملات از سوی یک دولت نقض شده در تلاش برای آلوده کردن دولت دیگر انجام می دهد. یک مورد وجود داشت که یک سفارت خارجی ناآگاهانه اسناد آلوده را به دولت کشور میزبان ارسال کرد. این حادثه نشان می‌دهد که هکرها تا چه اندازه از مخاطبین مورد اعتماد برای نفوذ به اهداف جدید و توسعه شبکه جاسوسی خود بهره‌برداری می‌کنند.

با توجه به قابلیت‌ها و اهداف Naikon APT، مشخص می‌شود که هدف از حملات، جاسوسی از دولت‌های هدف و جمع‌آوری اطلاعات در مورد آنهاست. این گروه در حال جمع‌آوری اسناد خاص از اهداف خود در ادارات دولتی، و همچنین گرفتن داده‌ها از درایوهای قابل جابجایی، جمع‌آوری اسکرین شات از رایانه‌های آلوده و استفاده از داده‌های به سرقت رفته برای جاسوسی است.

اگر همه اینها به اندازه کافی بد نبود، Naikon APT در فرار از تشخیص در هنگام عبور از شبکه‌های دولتی مهارت نشان داده است. این گروه این کار را با به خطر انداختن سرورهای داخل یک وزارتخانه آلوده و استفاده از آن رایانه ها به عنوان سرور فرمان و کنترل برای جمع آوری و ارسال داده های سرقت شده انجام می دهد. ردیابی آنها به لطف این روش عفونت تقریباً غیرممکن است. این یکی از راه هایی بود که آنها توانستند به مدت پنج سال از شناسایی اجتناب کنند.

زنجیره عفونت آریا-بدن

تحقیقات نشان می‌دهد که این گروه چندین راه مختلف برای آلوده کردن رایانه‌ها با Aria-Body دارند. تحقیقات در مورد این گروه زمانی آغاز شد که محققان ایمیل مخربی را مشاهده کردند که توسط یک سفارت دولتی در این منطقه به دولت ایالت استرالیا ارسال شده بود. سند آلوده "راه سرخپوستان" نام داشت و یک فایل RTF بود. فایل با سازنده اکسپلویت RoyalRoad مسلح شده بود، که بارکننده intel.wll را در پوشه Word در رایانه رها می کند. لودر تلاش می کند مرحله بعدی آلودگی را از spool.jtjewifyn[.]com دانلود کرده و آن را اجرا کند.

این اولین باری نیست که هکرها از بدافزار RoyalRoad برای تحویل نهایی استفاده می‌کنند. سایر گروه های ATP مانند Vicious Panda نیز از روش تحویل RoyalRoad استفاده می کنند. Naikon همچنین از فایل‌های بایگانی استفاده می‌کند که حاوی فایل‌های قانونی بارگذاری شده با فایل‌های DLL مخرب هستند. این روش از Outlook و سایر فایل های اجرایی قانونی برای انجام یک حمله سایبری به یک هدف استفاده می کند. به نظر می رسد Naikon APT در مخفی شدن در معرض دید بسیار ماهر است.

لودر مرحله اول نایکون

قبل از استقرار Aria-body RAT، لودر مرحله اول تعدادی از وظایف را بر روی سیستم آلوده انجام می دهد. لودر مسئول اطمینان از پایداری دستگاه قربانی است که اغلب از پوشه Startup استفاده می کند. سپس payload خود را به فرآیند دیگری تزریق می کند، با نمونه هایی از فرآیندهای هدفمند dllhost.exe و rundll32.exe. لودر پیکربندی خود را رمزگشایی می‌کند و با C&C تماس می‌گیرد تا بار مرحله بعدی را دانلود کند - Aria-body RAT، که سپس رمزگشایی و بارگذاری می‌شود.

مسیر روند naikon apt
مسیر فرآیند بدن آریا نایکون

نگاهی دقیق تر به بدن آریا

حملات اخیر انجام شده توسط Naikon بار دیگر از RAT سفارشی Aria-body استفاده شده است که احتمالاً توسط APT برای اهداف خود ساخته شده است. نام فایل محموله همان چیزی است که محققان برای نام آن استفاده کردند - aria-body-dllx86.dll. RAT سفارشی دارای عملکردی است که در اکثر RATهای دیگر یافت می شود:

  • دستکاری فایل ها و دایرکتوری ها
  • گرفتن اسکرین شات
  • جستجو برای فایل ها
  • راه اندازی فایل ها با استفاده از تابع ShellExecute
  • بستن یک جلسه TCP
  • بررسی مکان سیستم قربانی، با استفاده از سرویس «چک» آمازون

محققان نمونه های مختلفی از Aria-body را شناسایی کرده اند که برخی از عملکردهای زیر را نیز داشت:

  • جمع آوری داده های USB
  • صفحه کلید
  • پروکسی جوراب معکوس

اولین وظیفه Aria-body این است که تا حد امکان اطلاعات بیشتری در مورد سیستم قربانی جمع آوری کند. جزئیات جمع آوری شده شامل نام میزبان، نام کاربری، نسخه سیستم عامل، فرکانس CPU، کلید MachineGUID و آدرس IP عمومی است. تکه داده جمع آوری شده با یک رمز عبور تصادفی ایجاد شده فشرده می شود که سپس رمزگذاری می شود.

RAT می تواند با سرورهای C&C خود با استفاده از HTTP یا TCP ارتباط برقرار کند. کدام یک از پروتکل ها استفاده می شود توسط یک پرچم در پیکربندی لودر تعیین می شود. داده های سیستم زیپ شده قربانی همراه با رمز عبور آرشیو رمزگذاری شده به C&C منتقل می شود. پس از تکمیل انتقال، RAT شروع به گوش دادن به C&C خود برای دستورات دریافتی می کند.

پرطرفدار

کلاهبرداری ایمیل "YouPorn".

Spam
پس از بررسی کامل ایمیل‌های «YouPorn»، کارشناسان امنیت سایبری ماهیت تقلبی آن‌ها را تأیید کردند. این ایمیل‌ها بخشی از انواع مختلف هرزنامه هستند که همگی شبیه تاکتیک‌های جنجالی هستند. موضوع مشترک در میان این ایمیل‌های فریبنده، ادعای ساختگی است مبنی بر اینکه گیرنده در مطالب صریح جنسی که اخیراً در وب‌سایت YouPorn پست شده است، دخیل بوده است. سپس ایمیل ها گزینه های پرداخت متعددی را برای حذف محتوای...

پربیننده ترین

کلاهبرداری ایمیل "جوخه گیک".

Phishing, Spam
14,963
Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...
بارگذاری...