רישיונות ריבוי מכשירים (הנחות נפח)
Threat Database Advanced Persistent Threat (APT) Naikon APT

Naikon APT

עד GoldSparrow ב-Advanced Persistent Threat (APT)
לתרגם ל:
עברית

naikon apt Naikon הוא שמו של APT (Advanced Persistent Threat) שמקורו בסין. קבוצת הפריצה של Naikon אותרה לראשונה לפני למעלה מעשור, עוד בשנת 2010. Naikon APT עלה לכותרות בשנת 2015 כאשר התשתית שבה השתמשו נוכלי הסייבר נחשפה על ידי חוקרי תוכנות זדוניות. הודות לחשיפה זו, אחד מחברי קבוצת הפריצה Naikon נתפס על ידי רשויות החוק. לאחר ההתקפה הזו, אנליסטים של אבטחת סייבר הניחו שה-Naikon APT יצא מכלל העסקים. עם זאת, קבוצת הפריצה של Naikon צצה מחדש עם הטרויאני הדלת האחורית של Aria-body - איום חדש שיש לו מספר רב של תכונות.

ניאקון תוקף ניסיון להתחמק מגילוי

ה-Naikon APT היא קבוצת פריצה הנוטה לכוון לפקידי ממשל ומוסדות. רוב התקיפות שמבצעות קבוצת הפריצה Naikon מתרכזות בפיליפינים, וייטנאם, אינדונזיה, מיאנמר, ברוניי ואוסטרליה. רוב המוסדות הממשלתיים שממוקדים להם נוכלי הסייבר מ-Naikon APT פועלים בדרך כלל במגזר החוץ או בתעשיית המדע והטכנולוגיה. על פי הדיווחים, חלק מהעסקים והחברות, שבבעלות ממשלתית, היו מטרות גם על ידי Naikon APT.

בהתבוננות בארסנל הפריצה של Naikon APT, חוקרי תוכנות זדוניות הגיעו למסקנה שאנשים אלה נוטים לבצע פעולות סיור וריגול ארוכות טווח. זה מאוד אופייני לקבוצות פריצה המכוונות לממשלות ופקידים זרים. הפעולה האחרונה של Naikon שכללה את כלי הפריצה לגוף Aria שהוזכר לעיל, כוונה לממשלת אוסטרליה. מטרתו של הטרויאני הדלת האחורית בגוף Aria הייתה לאסוף נתונים ולקבל שליטה על המערכות הממוקדות המקושרות לממשלה. סביר להניח שאחרי שאחד מחברי ה-Naikon APT נתפס עוד ב-2015, קבוצת הפריצה החליטה להתחיל לפעול בשקט יותר כדי להימנע מזיהוי על ידי מנתחי תוכנות זדוניות. זה כנראה הטעה את המומחים להאמין שקבוצת הפריצה של Naikon פרשה.

קבוצת הפריצה של Naikon מפיצה את התוכנה הזדונית בגוף Aria באמצעות מיילים דיוג חנית. המיילים המדוברים נוצרו כדי למנוע העלאת חשד ביעד ספציפית. המיילים המזויפים יכילו קובץ מצורף פגום שמטרתו לנצל פגיעות שניתן למצוא בשירות Microsoft Office.

Naikon מקבל קו חיים חדש להתקפות ממוקדות

למרות שנייקון נותרה לכאורה רדומה במשך שנים וחלקם אפילו שיערו כי ה-APT פורק בעקבות דוח מפורט משנת 2015 על המבנה שלו, כעת הוא שוב הרים את ראשו.

חוקרים שעבדו עם צ'ק פוינט גילו שנייקון בילתה את השנים האחרונות ברציפות במיקוד לאותו אזור - מדינות וארגונים הממוקמים באזור אסיה פסיפיק. השטחים שהותקפו על ידי נאיקון כוללים את אוסטרליה, אינדונזיה, וייטנאם, ברוניי, תאילנד ומיאנמר. הכלי העיקרי ששימש בהתקפות הללו היה כלי הדלת האחורית ו-RAT Aria-body של Naikon.

הארגונים שנפגעו במתקפות האחרונות יותר כוללים משרדי ממשלה ותאגידים בבעלות ממשלת המדינה המתאימה. תצפית מוזרה היא שברגע ש-Naikon משיגה דריסת רגל בישות זרה, היא משתמשת בה כדי להפיץ תוכנות זדוניות נוספות. דוגמה אחת כזו היא שגרירות זרה ששימשה להפצת תוכנות זדוניות לממשלת המדינה המארחת שלה. גישה זו משתמשת באנשי קשר ידועים ומהימנים בתוך השגרירות, מה שמקל על ההסתננות.

במתקפה שנערכה לאחרונה, המטען של Aria-body נמסר באמצעות קובץ Rich Text Format בשם "The Indian Way.doc". הקובץ נוצל בנשק לשימוש במנצלים מסוימים באמצעות הכלי RoyalRoad. לאחר פתיחת הקובץ בפורמט טקסט עשיר, הוא מוריד קובץ בשם "Intel.wll", אשר פועל כמטען המנסה להוריד את המטען של השלב השני מדומיין מרוחק.

מומחים מאמינים שמטרת ההתקפות של נאיקון היא איסוף מודיעין וריגול אחר ממשלות. השחקנים הרעים מאחורי ה-Naikon APT יכולים לגשת לקבצים במערכות נגועות ואפילו לרשום הקשות ולצלם צילומי מסך. חלק מהסיבה לכך שה-APT התחמק מגילוי הפעילויות האחרונות שלו במשך זמן רב כל כך הייתה ש-Naikon השתמשה בשרתים ממשלתיים שכבר נפגעו כנקודות שליטה ובקרה שלה.

ה-Naikon APT עדיין לא תלה את הכפפות, בהחלט. עם זאת, נוכלי הסייבר נקטו כמה צעדים כדי להישאר מתחת לרדאר של חוקרי אבטחת סייבר.

יעדי Naikon APT

השוואת ההתקפות האחרונות לאלו מלפני מספר שנים מראה כי Naikon APT ממשיכה לכוון לאותם אזורים. כאמור, המטרות שלהם לפני חמש שנים כללו ממשלות ברחבי אזור אסיה-פסיפיק, ונראה שהתקיפות האחרונות שלהן עושות את אותו הדבר.

דבר מעניין שכדאי לציין לגבי הקבוצה הוא שהם מרחיבים לאט את דריסת הרגל שלהם בממשלות שונות. הקבוצה עושה זאת על ידי שיגור התקפות של ממשלה אחת שפרצה בניסיון להדביק ממשלה אחרת. היה מקרה אחד שבו שגרירות זרה שלחה ללא ידיעתו מסמכים נגועים לממשלת המדינה המארחת שלה. תקרית זו מראה באיזו יעילות ההאקרים מנצלים אנשי קשר מהימנים כדי לחדור למטרות חדשות ולפתח עוד יותר את רשת הריגול שלהם.

לאור היכולות והמטרות של Naikon APT, מתברר שהמטרה מאחורי ההתקפות היא לרגל אחר ממשלות היעד ולאסוף עליהן מודיעין. הקבוצה אוספת מסמכים ספציפיים מהמטרות שלהם בתוך משרדי הממשלה, וגם אוספת נתונים מכוננים נשלפים, אוספת צילומי מסך של מחשבים נגועים ומשתמשת בנתונים הגנובים לריגול.

אם כל זה לא היה מספיק גרוע, Naikon APT הוכיחה את עצמה כמיומנת בהתחמקות מזיהוי בעת מעבר דרך רשתות ממשלתיות. הקבוצה עושה זאת על ידי פגיעה בשרתים בתוך משרד נגוע ושימוש במחשבים אלה כשרת פיקוד ובקרה כדי לאסוף ולשלוח את הנתונים הגנובים. כמעט בלתי אפשרי להתחקות אחריהם הודות לשיטת ההדבקה הזו. זו הייתה אחת הדרכים שבהן הצליחו להימנע מגילוי במשך חמש שנים.

שרשרת זיהומי אריה-גוף

מחקרים מראים שלקבוצה יש כמה דרכים שונות להדביק מחשבים עם Aria-Body. החקירה על הקבוצה החלה כאשר חוקרים הבחינו במייל זדוני שנשלח לממשלת מדינת אוסטרליה על ידי שגרירות ממשלתית באזור. המסמך הנגוע נקרא "דרך האינדיאנים" והיה קובץ RTF. הקובץ עבר נשק באמצעות בונה ה-Exploit RoyalRoad, אשר מפיל את מטעין intel.wll לתוך תיקיית Word במחשב. המטען מנסה להוריד את השלב הבא של ההדבקה מ-spool.jtjewifyn[.]com ולהפעיל אותו.

זו לא תהיה הפעם הראשונה שהאקרים משתמשים בתוכנה הזדונית של RoyalRoad כדי לבצע את המסירה הסופית. קבוצות ATP אחרות, כמו Vicious Panda, משתמשות גם הן בשיטת המסירה של RoyalRoad. Naikon נראתה גם משתמשת בקבצי ארכיון המכילים קבצים לגיטימיים הטעונים בקבצי DLL זדוניים. שיטה זו מנצלת את היתרונות של Outlook וקבצי הפעלה לגיטימיים אחרים כדי לבצע מתקפת סייבר על יעד. נראה כי Naikon APT הצליחה מאוד להסתתר לעין.

מטעין השלב הראשון של Naikon

לפני פריסת ה- Aria-body RAT, טוען השלב הראשון מבצע מספר משימות במערכת הנגועה. המטען אחראי להבטיח התמדה במכשיר של הקורבן, לרוב באמצעות תיקיית ההפעלה. לאחר מכן המטען מחדיר את עצמו לתהליך אחר, כאשר כמה דוגמאות לתהליכים ממוקדים הם dllhost.exe ו-rundll32.exe. המעמיס מפענח את התצורה שלו ויוצר קשר עם ה-C&C כדי להוריד את מטען השלב הבא - Aria-body RAT, שלאחר מכן מפוענח ונטען.

נתיב תהליך apt naikon
נתיב תהליך אריה-גוף של Naikon

מבט מקרוב על גוף אריה

ההתקפות האחרונות שבוצעו על ידי Naikon השתמשו שוב ב-Aria-body RAT המותאם אישית, כנראה שפותח על ידי ה-APT למטרותיו. שם הקובץ של המטען הוא מה שהחוקרים השתמשו בשמו - aria-body-dllx86.dll. ל-RAT המותאם אישית יש את הפונקציונליות שנמצאת ברוב ה-RATs האחרים:

  • מניפולציה של קבצים וספריות
  • צילום מסך
  • מחפש קבצים
  • הפעלת קבצים באמצעות הפונקציה ShellExecute
  • סגירת הפעלת TCP
  • בדיקת מיקום מערכת הקורבן, באמצעות שירות ה-'checkip' של אמזון

חוקרים זיהו מקרים שונים של Aria-body שהיו להם גם חלק מהפונקציונליות הבאה:

  • איסוף נתוני USB
  • לוגר הקשות
  • פרוקסי גרביים הפוכים

המשימה הראשונה של Aria-body היא לגרד כמה שיותר מידע על מערכת הקורבן. הפרטים שנאספו כוללים שם מארח, שם משתמש, גרסת מערכת הפעלה, תדירות מעבד, מפתח MachineGUID וכתובת IP ציבורית. גוש הנתונים שנאסף מכווץ עם סיסמה שנוצרת באופן אקראי ומוצפנת.

ה-RAT יכול לתקשר עם שרתי ה-C&C שלו באמצעות HTTP או TCP. באיזה מהפרוטוקולים נעשה שימוש נקבע על ידי דגל בתצורת המטען. נתוני המערכת המכווצת של הקורבן מועברים ל-C&C יחד עם סיסמת הארכיון המוצפנת. לאחר השלמת ההעברה, ה-RAT מתחיל להאזין ל-C&C שלו לפקודות נכנסות.

מגמות

הונאת דוא"ל 'YouPorn'

Spam
לאחר בדיקה יסודית של הודעות האימייל של 'YouPorn', מומחי אבטחת סייבר אישרו את אופיים המרמה. הודעות דוא"ל אלו הן חלק מגרסאות ספאם שונות, כולן דומות לטקטיקות סקסטורציה. החוט המשותף בין הודעות האימייל המטעות הללו הוא קביעה מפוברקת לפיה הנמען היה מעורב בחומר בעל אופי מיני מפורש שפורסם לאחרונה באתר YouPorn. האימיילים מציגים אז אפשרויות תשלום מרובות להסרת התוכן האמור ולמניעת העלאות עתידיות....

הכי נצפה

הונאת דוא"ל 'Gek Squad'

Phishing, Spam
14,963
Geek Squad, ספקית תמיכה טכנית פופולרית, הפכה לקורבן של הונאת דיוג בשם Geek Squad Email Scam. הונאת התמיכה הטכנית הזו משתמשת בהודעות דוא"ל מזויפות שמרמות אנשים למסור את המידע האישי שלהם, כגון פרטי כרטיסי אשראי, כתובות דוא"ל ואפילו מספרי תעודת זהות. במאמר זה, נדון בהונאה עצמה, כיצד היא נראית, מאיפה מגיעים האימיילים המזויפים, מה הרמאים רוצים וכיצד להגן על עצמך מפני נפילת קורבן להונאה זו. מהי הונאת...
טוען...