नायकोन एपीटी

Naikon एक APT (एडवांस्ड पर्सिस्टेंट थ्रेट) का नाम है, जिसके बारे में माना जाता है कि इसकी उत्पत्ति चीन से हुई थी। Naikon हैकिंग समूह को पहली बार एक दशक पहले, 2010 में देखा गया था। Naikon APT ने 2015 में तब सुर्खियां बटोरीं जब साइबर बदमाशों द्वारा उपयोग किए जाने वाले बुनियादी ढांचे को मैलवेयर शोधकर्ताओं द्वारा उजागर किया गया था। इस खुलासे के लिए धन्यवाद, नाइकॉन हैकिंग समूह के सदस्यों में से एक को कानून प्रवर्तन द्वारा पकड़ा गया था। इस चूक के बाद, साइबर सुरक्षा विश्लेषकों ने मान लिया कि नायकोन एपीटी व्यवसाय से बाहर हो गया है। हालांकि, नाइकॉन हैकिंग समूह हाल ही में एरिया-बॉडी बैकडोर ट्रोजन के साथ फिर से उभरा है - एक नया खतरा जिसमें कई विशेषताएं हैं।

नियाकॉन हमलों का पता लगाने से बचने का प्रयास

Naikon APT एक हैकिंग समूह है जो सरकारी अधिकारियों और संस्थानों को निशाना बनाता है। नाइकॉन हैकिंग समूह द्वारा किए गए अधिकांश हमले फिलीपींस, वियतनाम, इंडोनेशिया, म्यांमार, ब्रुनेई और ऑस्ट्रेलिया में केंद्रित हैं। Naikon APT के साइबर बदमाशों द्वारा लक्षित अधिकांश सरकारी संस्थान आमतौर पर विदेशी मामलों के क्षेत्र या विज्ञान और प्रौद्योगिकी उद्योग में काम करते हैं। कुछ व्यवसायों और कंपनियों, जो सरकारी स्वामित्व वाली हैं, को कथित तौर पर नाइकोन एपीटी द्वारा भी लक्षित किया गया है।

Naikon APT के हैकिंग शस्त्रागार को देखते हुए, मैलवेयर शोधकर्ताओं ने निष्कर्ष निकाला है कि ये व्यक्ति लंबे समय तक टोही और जासूसी के संचालन को अंजाम देते हैं। यह हैकिंग समूहों के लिए बहुत विशिष्ट है जो विदेशी सरकारों और अधिकारियों को लक्षित करते हैं। हाल ही में नाइकॉन ऑपरेशन जिसमें उपरोक्त एरिया-बॉडी हैकिंग टूल शामिल था, ने ऑस्ट्रेलियाई सरकार को लक्षित किया। एरिया-बॉडी बैकडोर ट्रोजन का लक्ष्य डेटा एकत्र करना और लक्षित सरकार से जुड़े सिस्टम का नियंत्रण ग्रहण करना था। यह संभावना है कि 2015 में Naikon APT के सदस्यों में से एक के वापस पकड़े जाने के बाद, हैकिंग समूह ने मैलवेयर विश्लेषकों द्वारा पता लगाने से बचने के लिए अधिक चुपचाप संचालन शुरू करने का निर्णय लिया। इसने संभवतः विशेषज्ञों को यह विश्वास करने में गुमराह किया कि नाइकॉन हैकिंग समूह सेवानिवृत्त हो गया है।

नाइकॉन हैकिंग समूह स्पीयर-फ़िशिंग ईमेल के माध्यम से एरिया-बॉडी मैलवेयर का प्रचार करता है। विचाराधीन ईमेल विशेष रूप से लक्ष्य में संदेह पैदा करने से बचने के लिए तैयार किए गए थे। नकली ईमेल में एक दूषित अटैचमेंट होगा जिसका लक्ष्य Microsoft Office सेवा में पाई जा सकने वाली भेद्यता का फायदा उठाना है।

नाइकॉन को लक्षित हमलों के लिए एक नई जीवन रेखा मिली

भले ही नाइकॉन वर्षों से निष्क्रिय प्रतीत हो रहा था और कुछ लोग यह भी अनुमान लगा रहे थे कि इसकी संरचना पर 2015 की विस्तृत रिपोर्ट के बाद एपीटी को भंग कर दिया गया है, अब इसने एक बार फिर अपना सिर उठा लिया है।

चेक प्वाइंट के साथ काम करने वाले शोधकर्ताओं ने पाया कि नाइकोन ने पिछले कुछ वर्षों में लगातार एक ही क्षेत्र - एशिया प्रशांत क्षेत्र में स्थित देशों और संगठनों को लक्षित किया। नाइकॉन द्वारा हमला किए गए क्षेत्रों में ऑस्ट्रेलिया, इंडोनेशिया, वियतनाम, ब्रुनेई, थाईलैंड और म्यांमार शामिल हैं। उन हमलों में इस्तेमाल किया जाने वाला मुख्य उपकरण नायकोन का एरिया-बॉडी बैकडोर और आरएटी टूल था।

हाल के हमलों में लक्षित संगठनों में संबंधित देश की सरकार के स्वामित्व वाले सरकारी मंत्रालय और निगम शामिल हैं। एक जिज्ञासु अवलोकन यह है कि एक बार जब नाइकॉन एक विदेशी इकाई में पैर जमा लेता है, तो वह इसका उपयोग मैलवेयर को और फैलाने के लिए करता है। ऐसा ही एक उदाहरण एक विदेशी दूतावास है जिसका इस्तेमाल अपने मेजबान देश की सरकार में मैलवेयर फैलाने के लिए किया गया था। यह दृष्टिकोण दूतावास के भीतर ज्ञात और विश्वसनीय संपर्कों का उपयोग करता है, जिससे घुसपैठ आसान हो जाती है।

हाल के एक हमले में, एरिया-बॉडी पेलोड को "द इंडियन वे.डॉक" नामक एक रिच टेक्स्ट फॉर्मेट फ़ाइल के माध्यम से वितरित किया गया था। रॉयलरोड टूल का उपयोग करके कुछ कारनामों का उपयोग करने के लिए फ़ाइल को हथियार बनाया गया था। रिच टेक्स्ट फ़ॉर्मेट फ़ाइल खोलने के बाद, यह "Intel.wll" नाम की एक फ़ाइल को छोड़ देता है, जो एक लोडर के रूप में कार्य करता है जो दूरस्थ डोमेन से दूसरे चरण के पेलोड को डाउनलोड करने का प्रयास करता है।

विशेषज्ञों का मानना है कि नाइकॉन के हमलों का मकसद खुफिया जानकारी जुटाना और सरकारों की जासूसी करना है। Naikon APT के पीछे के बुरे अभिनेता संक्रमित सिस्टम पर फाइलों तक पहुंच सकते हैं और यहां तक कि कीस्ट्रोक्स लॉग कर सकते हैं और स्क्रीनशॉट ले सकते हैं। एपीटी ने इतने लंबे समय तक अपनी हाल की गतिविधियों का पता लगाने से बचने का एक कारण यह था कि नाइकन ने सरकारी सर्वर का इस्तेमाल किया था जो पहले से ही इसके कमांड और कंट्रोल पॉइंट के रूप में समझौता कर चुके थे।

Naikon APT ने अभी तक अपने दस्तानों को लटकाया नहीं है, निश्चित रूप से। हालाँकि, साइबर बदमाशों ने साइबर सुरक्षा शोधकर्ताओं के रडार पर बने रहने के लिए कुछ उपाय किए हैं।

नायकोन एपीटी लक्ष्य

हाल के हमलों की तुलना कई साल पहले के हमलों से करने पर पता चलता है कि नायकोन एपीटी उन्हीं क्षेत्रों को निशाना बना रहा है। जैसा कि उल्लेख किया गया है, पांच साल पहले उनके लक्ष्य में एशिया-प्रशांत क्षेत्र की सरकारें शामिल थीं, और उनके हालिया हमले भी ऐसा ही करते हैं।

समूह के बारे में एक दिलचस्प बात यह है कि वे धीरे-धीरे विभिन्न सरकारों में अपने पैर जमा रहे हैं। समूह दूसरी सरकार को संक्रमित करने के प्रयास में एक भंग सरकार से हमले शुरू करके ऐसा करता है। एक मामला ऐसा भी था जब एक विदेशी दूतावास ने अनजाने में अपने मेजबान देश की सरकार को संक्रमित दस्तावेज भेजे थे। इस घटना से पता चलता है कि हैकर्स कितने प्रभावी ढंग से नए लक्ष्यों में घुसपैठ करने और अपने जासूसी नेटवर्क को विकसित करने के लिए विश्वसनीय संपर्कों का फायदा उठा रहे हैं।

नायकोन एपीटी की क्षमताओं और लक्ष्यों को देखते हुए, यह स्पष्ट हो जाता है कि हमलों के पीछे का उद्देश्य लक्षित सरकारों की जासूसी करना और उन पर खुफिया जानकारी जुटाना है। समूह सरकारी विभागों के भीतर अपने लक्ष्य से विशिष्ट दस्तावेज एकत्र कर रहा है, और हटाने योग्य ड्राइव से डेटा भी हथिया रहा है, संक्रमित कंप्यूटरों के स्क्रीनशॉट एकत्र कर रहा है, और जासूसी के लिए चोरी किए गए डेटा का उपयोग कर रहा है।

यदि यह सब बहुत बुरा नहीं था, तो सरकारी नेटवर्क से गुजरते समय नाइकॉन एपीटी पता लगाने से बचने में माहिर साबित हुआ है। समूह एक संक्रमित मंत्रालय के भीतर सर्वर से समझौता करके और उन कंप्यूटरों का उपयोग कमांड और कंट्रोल सर्वर के रूप में चोरी किए गए डेटा को इकट्ठा करने और भेजने के लिए करता है। इस संक्रमण विधि की बदौलत उनका पता लगाना लगभग असंभव है। यह उन तरीकों में से एक था कि वे पांच साल तक पता लगाने से बचने में सक्षम थे।

एरिया-शारीरिक संक्रमण श्रृंखला

अनुसंधान से पता चलता है कि समूह के पास एरिया-बॉडी के साथ कंप्यूटरों को संक्रमित करने के कई अलग-अलग तरीके हैं। समूह की जांच तब शुरू हुई जब शोधकर्ताओं ने क्षेत्र में एक सरकारी दूतावास द्वारा ऑस्ट्रेलियाई राज्य सरकार को भेजे गए एक दुर्भावनापूर्ण ईमेल को देखा। संक्रमित दस्तावेज़ को "द इंडियंस वे" कहा जाता था और यह एक RTF फ़ाइल थी। फ़ाइल को RoyalRoad शोषण बिल्डर के साथ हथियार बनाया गया था, जो Intel.wll लोडर को कंप्यूटर पर Word फ़ोल्डर में छोड़ देता है। लोडर spool.jtjewifyn[.]com से संक्रमण के अगले चरण को डाउनलोड करने और इसे निष्पादित करने का प्रयास करता है।

यह पहली बार नहीं होगा जब हैकर्स ने फाइनल डिलीवरी के लिए RoyalRoad मैलवेयर का इस्तेमाल किया हो। अन्य एटीपी समूह, जैसे कि शातिर पांडा, भी RoyalRoad वितरण पद्धति का उपयोग करते हैं। Naikon को उन संग्रह फ़ाइलों का उपयोग करते हुए भी देखा गया है जिनमें दुर्भावनापूर्ण DLL फ़ाइलों से भरी हुई वैध फ़ाइलें होती हैं। लक्ष्य पर साइबर हमला करने के लिए यह विधि आउटलुक और अन्य वैध निष्पादन योग्य फाइलों का लाभ उठाती है। ऐसा प्रतीत होता है कि नायकोन एपीटी सादे दृष्टि से छिपने में बहुत कुशल हो गया है।

नाइकॉन का पहला चरण लोडर

एरिया-बॉडी आरएटी को तैनात करने से पहले, पहले चरण लोडर संक्रमित सिस्टम पर कई कार्य करता है। लोडर पीड़ित की मशीन पर दृढ़ता सुनिश्चित करने के लिए जिम्मेदार होता है, अक्सर स्टार्टअप फ़ोल्डर का उपयोग करता है। फिर पेलोड खुद को दूसरी प्रक्रिया में इंजेक्ट करता है, लक्षित प्रक्रियाओं के कुछ उदाहरण dllhost.exe और rundll32.exe होने के साथ। लोडर अपने कॉन्फ़िगरेशन को डिक्रिप्ट करता है और अगले चरण के पेलोड - एरिया-बॉडी आरएटी को डाउनलोड करने के लिए सी एंड सी से संपर्क करता है, जिसे तब डिक्रिप्ट और लोड किया जाता है।

नाइकॉन का एरिया-बॉडी प्रोसेस पाथ

एरिया-बॉडी पर एक नजदीकी नजर

नाइकॉन द्वारा किए गए हालिया हमलों में एक बार फिर एरिया-बॉडी कस्टम आरएटी का इस्तेमाल किया गया था, जिसे एपीटी द्वारा अपने उद्देश्यों के लिए विकसित किया गया था। पेलोड का फ़ाइल नाम वही है जो शोधकर्ताओं ने इसके नाम के लिए उपयोग किया - aria-body-dllx86.dll। कस्टम RAT में अधिकांश अन्य RAT में पाई जाने वाली कार्यक्षमता है:

• फाइलों और निर्देशिकाओं का हेरफेर
• स्क्रीनशॉट लेना
• फाइलों की तलाश
• ShellExecute फ़ंक्शन का उपयोग करके फ़ाइलें लॉन्च करना
• एक टीसीपी सत्र बंद करना
• अमेज़ॅन की 'चेकिप' सेवा का उपयोग करके पीड़ित सिस्टम के स्थान की जांच करना

शोधकर्ताओं ने एरिया-बॉडी के विभिन्न उदाहरण देखे हैं जिनमें निम्नलिखित में से कुछ कार्यक्षमता भी थी:

• USB डेटा एकत्र करना
• कीस्ट्रोक लकड़हारा
• रिवर्स मोजे प्रॉक्सी

एरिया-बॉडी का पहला काम पीड़ित प्रणाली के बारे में अधिक से अधिक जानकारी को परिमार्जन करना है। एकत्र किए गए विवरण में होस्ट नाम, उपयोगकर्ता नाम, OS संस्करण, CPU आवृत्ति, MachineGUID कुंजी और सार्वजनिक IP पता शामिल हैं। डेटा के एकत्रित हिस्से को बेतरतीब ढंग से जेनरेट किए गए पासवर्ड के साथ ज़िप किया जाता है जिसे बाद में एन्क्रिप्ट किया जाता है।

RAT HTTP या TCP का उपयोग करके अपने C&C सर्वर से संचार कर सकता है। कौन सा प्रोटोकॉल उपयोग किया जाता है यह लोडर के कॉन्फ़िगरेशन में एक ध्वज द्वारा निर्धारित किया जाता है। पीड़ित ज़िप्ड सिस्टम डेटा को एन्क्रिप्टेड आर्काइव पासवर्ड के साथ सी एंड सी में स्थानांतरित कर दिया जाता है। स्थानांतरण पूरा होने के बाद, आरएटी आने वाले आदेशों के लिए अपने सी एंड सी को सुनना शुरू कर देता है।