Naikon apt

Naikon egy apt (fejlett, tartós fenyegetés) neve, amely úgy vélik, hogy Kínából származik. A Naikon hacker csoport először foltos, mint egy évtizeddel ezelőtt, vissza 2010-ben a Naikon APT készült címoldalára 2015 által használt infrastruktúra a cyber bűnözők fedezte malware kutatók. Ennek köszönhetően a Naikon Hacking csoport egyik tagja elkapta a bűnüldözést. Miután ez a graffe, a kiberbiztonsági elemzők feltételezték, hogy a Naikon apt kimaradt az üzletből. Azonban a Naikon hacker csoport újra felbukkant az Aria-testület backdoor közelmúltban - az új fenyegetés, amely számos szolgáltatással.

Niakon támadások megpróbálják elkerülni a felderítést

A Naikon apt egy hacker csoport, amely hajlamos a kormányzati tisztviselők és intézmények célozni. A Naikon Hacking Csoport által végzett támadások nagy része a Fülöp-szigetek, Vietnam, Indonézia, Mianmar, Brunei és Ausztrália koncentrálódik. A Naikon Apt számítógépes bűnözői által célzott kormányzati intézmények többsége általában a külügyekben vagy a tudományos és technológiai iparban működik. Egyes vállalkozások és vállalatok, amelyek kormányzati tulajdonban vannak, állítólag a Naikon által is célozta meg.

Figyelve a hacker fegyvertára a Naikon APT, malware kutatók arra a következtetésre jutottak, hogy ezek az egyének hajlamosak végezni a hosszú távú felderítő és kémkedés műveleteket. Ez nagyon tipikus a hacking csoportok számára, amelyek a külföldi kormányokat és tisztviselőket célozzák meg. A legutóbbi Naikon művelet, amely érintette a fent említett Aria-testület hacker eszköz célzott az ausztrál kormány. Az Aria-test hátsó trójai célja az adatok összegyűjtése és a célzott kormányhoz kötött rendszerek ellenőrzése. Valószínű, hogy miután az egyik tagja a Naikon APT fogták vissza 2015-ben, a hacker csoport úgy döntött, hogy működik több csendben, hogy ne derüljön a malware elemzők. Ez valószínűleg félreértette a szakértőket abban, hogy a Naikon Hacking csoport nyugdíjba vonult.

A Naikon hacker csoport terjed a Aria-test malware keresztül lándzsa-adathalász e-maileket. Az e-maileket a kérdéses ügyes, hogy ne gyanú a cél konkrétan. A hamis e-mailek tartalmaznának egy sérült csatolást, amelynek célja a Microsoft Office szolgáltatásban megtalálható biztonsági rés kihasználása.

Naikon új életvonalat kap a célzott támadásokért

Annak ellenére, hogy Naikon évek óta látszólag alvó maradt, és néhányan azt is spekulálják, hogy az APT-t felszámolták a struktúrájáról szóló részletes 2015-ös jelentés után, most már ismét felnevelte a fejét.

Dolgozó kutatók a Check Point felfedezte, hogy Naikon töltötte az elmúlt néhány évben folyamatosan ugyanazt célozzák régió - országok és szervezetek található az ázsiai-csendes-óceáni térségben. A Naikon által támadó területek közé tartozik Ausztrália, Indonézia, Vietnam, Brunei, Thaiföld és Mianmar. A fő eszköze ezekben rohamok Naikon áriája test hátsó és RAT eszköz.

A legutóbbi támadásokban célzott szervezetek közé tartoznak az adott ország kormány tulajdonában lévő kormányzati minisztériumok és vállalatok. Kíváncsi megfigyelés az, hogy ha Naikon egy külföldi entitásban lévõ lábát nyer, akkor a malware további terjesztésére használja. Az egyik ilyen példa egy idegen nagykövetség, amelyet a rosszindulatú programok elterjesztésére szolgál a fogadó országának kormánya számára. Ez a megközelítés ismert és megbízható kapcsolatokat használ a nagykövetségen belül, ami megkönnyíti az infiltrációt.

Egy közelmúltbeli támadás, az Aria-test hasznos vezettünk át egy Rich Text Format fájl neve „Az indiai Way.doc”. A fájl fegyveres volt, hogy bizonyos kizsákmányolásokat használjon a Royroad eszköz használatával. Miután a Rich Text Format fájl megnyitásakor esik a fájl neve „Intel.wll”, amely egyfajta rakodó hogy megpróbálja letölteni a második szakaszban hasznos egy távoli tartomány.

A szakértők úgy vélik, hogy a Naikon támadásainak célja az intelligencia összegyűjtése és a kormányok kémkedése. A Naikon apt mögötti rossz szereplők hozzáférhetnek a fertőzött rendszerekre, és még a log billentyűleütéseket is elérhetik, és képernyőképeket vesznek fel. Az oka annak, hogy az APT az APT kimutatja a közelmúltbeli tevékenységeinek felderítését olyan sokáig, hogy Naikon olyan kormányzati kiszolgálókat használt, amelyek már veszélyeztették parancsnokként és ellenőrzési pontként.

A Naikon apt még nem tette fel a kesztyűt, biztosan. Azonban a számítógépes bűnözők vették néhány intézkedést, hogy továbbra is a radar a kiberbiztonság kutatók.

Naikon apt célok

A közelmúltbeli támadások összehasonlítása több évvel ezelőtt azt mutatja, hogy Naikon apt továbbra is ugyanazokat a régiókat célozza meg. Mint említettük, az öt évvel ezelőtti célkitűzések közé tartoztak az ázsiai-csendes-óceáni térségben, és a közelmúltbeli támadások ugyanezt teszik.

Az egyik érdekes dolog, hogy megjegyezzük a csoportot, hogy lassan bővítették lábukat a különböző kormányok. A csoport működik ez indít támadást az egyik sérül kormány arra törekszik, hogy megfertőzi egy másik kormány. Volt egy olyan eset, amikor egy külföldi nagykövetség tudatlanul elküldte a fertőzött dokumentumokat a fogadó országának kormányához. Ez az incidens azt mutatja, hogy mennyire hatékonyan a hackerek kiaknázzák a megbízható kapcsolatot az új célok beszivárgására és további fejlesztőjükre kémkedõ hálózatukat.

Mivel a képességek és célok Naikon APT, világossá válik, hogy a cél a támadások mögött, hogy kémkedjen a cél a kormányok és a titkos információkat gyűjtsenek nekik. A csoport összegyűjti konkrét dokumentumok céljaik belül a kormányzati szervek, valamint a rángatás adatok cserélhető meghajtók, gyűjtése screenshotok a fertőzött számítógépek, és a lopott adatokat kémkedés.

Ha mindaz, ami nem volt elég rossz, Naikon apt bizonyította, hogy a kormányzati hálózatokon áthaladva elhalad. A csoport ezt a fertőzött minisztériumon belüli kiszolgálók kompromisszuma, és ezeket a számítógépeket parancs- és vezérlőszerverként használja az ellopott adatok összegyűjtésére és elküldésére. Szinte lehetetlen nyomon követni őket a fertőzés módszerének köszönhetően. Ez volt az egyik módja annak, hogy képesek voltak elkerülni az észlelést öt évig.

Az aria-test fertőzéslánc

A kutatások azt mutatják csoport számos különböző módon fertőz számítógépek Aria-Body. A vizsgálat a csoport indult, amikor a kutatók észrevett egy rosszindulatú e-mailt küldött az ausztrál állami kormányzat által a kormány nagykövetség a régióban. A fertőzött dokumentumot "az indiánok módon" nevezték, és RTF fájl volt. A fájl weaponized a RoyalRoad kihasználni építő, ami csepp a intel.wll rakodó a Word-mappát a számítógépen. A betöltő megpróbálja letölteni a következő fertőzés következő szakaszát a spool.jtjewynn [.] Com és végrehajtja azt.

Ez nem lenne az első alkalom, hogy a hackerek a Roomroad Malware-t használták a végleges szállítás érdekében. Más ATP-csoportok, mint például az ördögi panda, szintén használják a Royroad szállítási módszert. Naikon is láttuk, az archív fájl, amely jogos betöltött fájl kártékony DLL fájlokat. Ez a módszer kihasználja az Outlook és egyéb törvényes végrehajtható fájlok kihasználását célzó célpontot. Úgy tűnik, Naikon apt úgy tűnik, hogy nagyon jól érezte magát a sima látványban.

Naikon első fázisú rakodója

Az Aria-test patkány telepítése előtt az első fázisú betöltő számos feladatot végez a fertőzött rendszeren. A rakodó felelős az áldozat gépének kitartásának biztosításáért, gyakran az indítási mappát használva. Ezután a hasznos fecskendez be magát egy másik folyamat, néhány példát célzott eljárások pedig Dllhost.exe és rundll32.exe. A rakodó dekódolja a konfigurációját, és a C & C kapcsolatok letöltése a következő szakaszban - az ARIA-Body Rat, amelyet ezután visszafejtünk és betöltött.

Naikon ARIA-Body Process Path

A közelebbi pillantást Aria-testre néz

A Naikon által végzett legutóbbi támadások ismét felhasználták az Aria-test egyéni patkányt, amelyet valószínűleg az APT által a céljaira fejlesztett ki. A hasznos számnév a hasznos a nevét - aria-body-dllx86.dll. Az egyéni patkány a legtöbb más patkányban található funkcionalitással rendelkezik:

• Fájlok és könyvtárak manipulálása
• A képernyőképek
• Fájlok keresése
• Fájlok indítása a ShocleCecute funkció használatával
• A TCP munkamenet lezárása
• Az áldozatrendszer helyének ellenőrzése, az Amazon 'Checkip' szolgáltatása

A kutatók különböző példányokat észleltek az Aria-testületnek, amely a következő funkciók közül néhány is volt:

• USB adatok összegyűjtése
• keystroke logger
• fordított zokni proxy

Az Aria-Body első feladata az, hogy minél több információt kapjunk az áldozatrendszerről. Az összegyűjtött adatok közé tartozik a gazdagépnév, a felhasználónév, az operációs rendszer, az operációs rendszer, a CPU frekvencia, a GoodyGuid kulcs és a nyilvános IP-cím. Az összegyűjtött adatok nagy darabja van cipzáras egy véletlenszerűen generált jelszót, hogy ezután titkosított.

A patkány kommunikálhat C & C szervereivel HTTP vagy TCP segítségével. A protokollok közül melyiket használják a lobogója a rakodó konfigurációjában. Az áldozat zip rendszer adat átkerült a C & C együtt a titkosított archív jelszót. Miután az átvitel befejeződött, a patkány elkezdi hallgatni a C & C-t a bejövő parancsokhoz.