Naikon APT

Naikon je naziv APT (Advanced Persistent Threat) za koji se vjeruje da potječe iz Kine. Hakerska grupa Naikon prvi put je uočena prije više od deset godina, davne 2010. Naikon APT dospio je na naslovnice 2015. kada su istraživači zlonamjernog softvera otkrili infrastrukturu koju su koristili cyber lopovi. Zahvaljujući ovom razotkrivanju, policija je uhvatila jednog od članova hakerske grupe Naikon. Nakon ovog gafa, analitičari kibernetičke sigurnosti pretpostavili su da se Naikon APT ugasio. Međutim, hakerska grupa Naikon nedavno se ponovno pojavila s Aria-body backdoor Trojancem – novom prijetnjom koja ima mnoštvo značajki.

Niakon napadi pokušavaju izbjeći otkrivanje

Naikon APT je hakerska grupa koja cilja na državne dužnosnike i institucije. Većina napada koje provodi hakerska grupa Naikon koncentrirana je na Filipinima, Vijetnamu, Indoneziji, Mjanmaru, Bruneju i Australiji. Većina vladinih institucija na meti cyber lopova iz Naikon APT-a obično djeluje u sektoru vanjskih poslova ili industriji znanosti i tehnologije. Neka poduzeća i tvrtke u državnom vlasništvu navodno su također bile na meti Naikon APT-a.

Promatrajući hakerski arsenal Naikon APT-a, istraživači zlonamjernog softvera zaključili su da su ti pojedinci skloni obavljanju dugotrajnih izviđačkih i špijunskih operacija. To je vrlo tipično za hakerske grupe koje ciljaju na strane vlade i dužnosnike. Nedavna operacija Naikon koja je uključivala gore spomenuti alat za hakiranje Aria-body ciljala je australsku vladu. Cilj Aria-body backdoor Trojanca bio je prikupiti podatke i preuzeti kontrolu nad ciljanim sustavima povezanim s vladom. Vjerojatno je nakon što je jedan od članova Naikon APT-a uhvaćen 2015. godine, hakerska skupina odlučila početi raditi tiše kako bi izbjegla otkrivanje od strane analitičara zlonamjernog softvera. To je vjerojatno zavaralo stručnjake da vjeruju da se hakerska grupa Naikon povukla.

Hakerska grupa Naikon propagira zlonamjerni softver Aria-body putem e-pošte za krađu identiteta. Dotične e-poruke izrađene su kako bi se izbjeglo izazivanje sumnje u metu. Lažne e-poruke sadržavale bi oštećeni privitak čiji je cilj iskoristiti ranjivost koja se može pronaći u usluzi Microsoft Office.

Naikon dobiva novi spas za ciljane napade

Iako je Naikon godinama naizgled bio uspavan, a neki su čak nagađali da je APT raspušten nakon detaljnog izvješća o njegovoj strukturi iz 2015., sada je ponovno digao glavu.

Istraživači koji su surađivali s Check Pointom otkrili su da je Naikon posljednjih nekoliko godina neprekidno ciljao na istu regiju – zemlje i organizacije smještene u azijsko-pacifičkoj regiji. Teritoriji koje je Naikon napao uključuju Australiju, Indoneziju, Vijetnam, Brunej, Tajland i Mianmar. Glavno oruđe korišteno u tim napadima bio je Naikon-ov Aria-body backdoor i RAT alat.

Organizacije na meti nedavnih napada uključuju vladina ministarstva i korporacije u vlasništvu vlade dotične zemlje. Zanimljivo je zapažanje da nakon što Naikon stekne uporište u stranom entitetu, onda ga koristi za daljnje širenje zlonamjernog softvera. Jedan takav primjer je strano veleposlanstvo koje je korišteno za širenje zlonamjernog softvera vladi zemlje domaćina. Ovaj pristup koristi poznate i provjerene kontakte unutar veleposlanstva, što olakšava infiltraciju.

U nedavnom napadu, teret Aria-body isporučen je putem datoteke formata bogatog teksta pod nazivom "The Indian Way.doc". Datoteka je bila naoružana za korištenje određenih exploita pomoću alata RoyalRoad. Nakon što se otvori datoteka formata obogaćenog teksta, ispušta se datoteka pod nazivom "Intel.wll", koja djeluje kao učitavač koji pokušava preuzeti korisni teret druge faze s udaljene domene.

Stručnjaci vjeruju da je svrha Naikonovih napada prikupljanje obavještajnih podataka i špijuniranje vlada. Loši akteri koji stoje iza Naikon APT-a mogu pristupiti datotekama na zaraženim sustavima, pa čak i zabilježiti pritiske tipki i napraviti snimke zaslona. Dio razloga zašto je APT tako dugo izbjegavao otkrivanje svojih novijih aktivnosti bio je taj što je Naikon koristio vladine poslužitelje koji su već bili kompromitirani kao svoje zapovjedne i kontrolne točke.

Naikon APT sigurno još nije objesio rukavice. Međutim, cyber lopovi poduzeli su neke mjere kako bi ostali ispod radara istraživača kibernetičke sigurnosti.

Naikon APT mete

Usporedba nedavnih napada s onima od prije nekoliko godina pokazuje da Naikon APT i dalje cilja na iste regije. Kao što je spomenuto, njihove mete prije pet godina uključivale su vlade diljem azijsko-pacifičke regije, a čini se da i njihovi nedavni napadi čine isto.

Jedna zanimljiva stvar koju treba primijetiti u vezi s tom skupinom je da su polako širili svoje uporište u različitim vladama. Grupa to čini pokretanjem napada jedne probijene vlade u pokušaju da zarazi drugu vladu. Bio je jedan slučaj kada je strano veleposlanstvo nesvjesno poslalo zaražene dokumente vladi zemlje domaćina. Ovaj incident pokazuje koliko učinkovito hakeri iskorištavaju povjerljive kontakte kako bi se infiltrirali na nove mete i dalje razvijali svoju špijunsku mrežu.

S obzirom na sposobnosti i ciljeve Naikon APT-a, postaje jasno da je svrha napada špijuniranje ciljanih vlada i prikupljanje obavještajnih podataka o njima. Skupina prikuplja specifične dokumente od svojih meta unutar vladinih odjela, a također hvata podatke s prijenosnih diskova, prikuplja snimke zaslona zaraženih računala i koristi ukradene podatke za špijunažu.

Ako sve to nije bilo dovoljno loše, Naikon APT se pokazao vještim u izbjegavanju otkrivanja pri prolasku kroz vladine mreže. Grupa to čini kompromitirajući poslužitelje unutar zaraženog ministarstva i koristeći ta računala kao poslužitelj za zapovijedanje i kontrolu za prikupljanje i slanje ukradenih podataka. Zahvaljujući ovoj metodi infekcije gotovo je nemoguće ući u trag. To je bio jedan od načina na koji su uspjeli izbjeći otkrivanje pet godina.

Arija-tjelesni lanac infekcije

Istraživanje pokazuje da grupa ima nekoliko različitih načina da zarazi računala Aria-Bodyjem. Istraga o grupi započela je kada su istraživači uočili zlonamjernu e-poštu koju je vladino veleposlanstvo u regiji poslalo vladi Australije. Zaraženi dokument zvao se "The Indians Way" i bio je RTF datoteka. Datoteka je bila naoružana programom za izgradnju eksploatacije RoyalRoad, koji ispušta intel.wll učitavač u Word mapu na računalu. Učitavač pokušava preuzeti sljedeću fazu infekcije sa spool.jtjewifyn[.]com i izvršiti je.

Ovo ne bi bio prvi put da hakeri koriste zlonamjerni softver RoyalRoad za konačnu isporuku. Druge ATP grupe, kao što je Vicious Panda, također koriste RoyalRoad metodu isporuke. Naikon je također viđen kako koristi arhivske datoteke koje sadrže legitimne datoteke učitane zlonamjernim DLL datotekama. Ova metoda koristi Outlook i druge legitimne izvršne datoteke za provođenje cyber-napada na metu. Čini se da je Naikon APT postao vrlo vješt u skrivanju na vidiku.

Naikonov utovarivač prve faze

Prije nego što se Aria-body RAT implementira, učitavač prve faze obavlja niz zadataka na zaraženom sustavu. Učitavač je odgovoran za osiguranje postojanosti na stroju žrtve, često koristeći mapu za pokretanje. Zatim se korisni teret ubrizgava u drugi proces, a neki primjeri ciljanih procesa su dllhost.exe i rundll32.exe. Učitavač dešifrira svoju konfiguraciju i kontaktira C&C za preuzimanje sljedećeg stupnja korisnog opterećenja - Aria-body RAT, koji se zatim dešifrira i učitava.

Naikonov put procesa Aria-body

Bliži pogled na Aria-tijelo

Nedavni napadi koje je izveo Naikon ponovno su koristili Aria-body custom RAT, koji je vjerojatno razvio APT za svoje potrebe. Naziv datoteke korisnog učitavanja je ono što su istraživači koristili za njegovo ime - aria-body-dllx86.dll. Prilagođeni RAT ima funkcionalnost koja se nalazi u većini drugih RAT-ova:

• manipuliranje datotekama i imenicima
• snimanje zaslona
• traženje datoteka
• pokretanje datoteka pomoću funkcije ShellExecute
• zatvaranje TCP sesije
• provjeravanje lokacije sustava žrtve, korištenjem Amazonove usluge 'checkip'

Istraživači su uočili različite primjere Aria tijela koje su također imale neke od sljedećih funkcionalnosti:

• prikupljanje USB podataka
• zapisivač tipki
• obrnuti čarape proxy

Prvi zadatak Aria-bodya je izvući što više informacija o sustavu žrtve. Prikupljeni podaci uključuju naziv hosta, korisničko ime, verziju OS-a, frekvenciju procesora, MachineGUID ključ i javnu IP adresu. Prikupljeni dio podataka komprimuje se nasumično generiranom lozinkom koja se zatim šifrira.

RAT može komunicirati sa svojim C&C poslužiteljima koristeći HTTP ili TCP. Koji se od protokola koristi određuje zastavica u konfiguraciji učitavača. Zrtve komprimirani podaci sustava prenose se u C&C zajedno s šifriranom arhivskom lozinkom. Nakon što je prijenos završen, RAT počinje slušati svoje C&C za dolazne naredbe.