Naikon APT
Naikon è il nome di un APT (Advanced Persistent Threat) che si ritiene provenga dalla Cina. Il gruppo di hacker Naikon è stato individuato per la prima volta oltre un decennio fa, nel 2010. L'APT di Naikon ha fatto notizia nel 2015 quando l'infrastruttura utilizzata dai criminali informatici è stata scoperta dai ricercatori di malware. Grazie a questa denuncia, uno dei membri del gruppo di hacker Naikon è stato catturato dalle forze dell'ordine. Dopo questa gaffe, gli analisti della sicurezza informatica hanno ipotizzato che l'APT di Naikon avesse cessato l'attività. Tuttavia, il gruppo di hacker Naikon è riemerso di recente con il Trojan backdoor Aria-body, una nuova minaccia che ha una moltitudine di funzionalità.
Sommario
Niakon attacca il tentativo di eludere il rilevamento
Il Naikon APT è un gruppo di hacker che tende a prendere di mira funzionari e istituzioni governative. La maggior parte degli attacchi effettuati dal gruppo di hacker Naikon si concentra nelle Filippine, Vietnam, Indonesia, Myanmar, Brunei e Australia. La maggior parte delle istituzioni governative prese di mira dai criminali informatici dell'APT di Naikon di solito operano nel settore degli affari esteri o nell'industria scientifica e tecnologica. Secondo quanto riferito, anche alcune aziende e società, di proprietà del governo, sono state prese di mira dall'APT di Naikon.
Osservando l'arsenale di hacking del Naikon APT, i ricercatori di malware hanno concluso che questi individui tendono a svolgere operazioni di ricognizione e spionaggio a lungo termine. Questo è molto tipico per i gruppi di hacker che prendono di mira governi e funzionari stranieri. La recente operazione Naikon che ha coinvolto il suddetto strumento di hacking Aria-body ha preso di mira il governo australiano. L'obiettivo del Trojan backdoor Aria-body era quello di raccogliere dati e assumere il controllo dei sistemi presi di mira legati al governo. È probabile che dopo che uno dei membri del Naikon APT è stato catturato nel 2015, il gruppo di hacker abbia deciso di iniziare a operare in modo più silenzioso per evitare il rilevamento da parte degli analisti di malware. Questo probabilmente ha indotto gli esperti a credere che il gruppo di hacker Naikon si sia ritirato.
Il gruppo di hacker Naikon propaga il malware Aria-body tramite e-mail di spear-phishing. Le e-mail in questione sono state create per evitare di suscitare sospetti nell'obiettivo specifico. Le e-mail false conterrebbero un allegato danneggiato il cui obiettivo è sfruttare una vulnerabilità che può essere trovata nel servizio Microsoft Office.
Naikon ottiene una nuova ancora di salvezza per gli attacchi mirati
Anche se Naikon è rimasta apparentemente inattiva per anni e alcuni hanno persino ipotizzato che l'APT sia stato sciolto a seguito di un rapporto dettagliato del 2015 sulla sua struttura, ora ha alzato di nuovo la testa.
I ricercatori che lavorano con Check Point hanno scoperto che Naikon ha trascorso gli ultimi anni prendendo continuamente di mira la stessa regione: paesi e organizzazioni situate nella regione dell'Asia del Pacifico. I territori attaccati da Naikon includono Australia, Indonesia, Vietnam, Brunei, Thailandia e Myanmar. Lo strumento principale utilizzato in quegli attacchi era la backdoor Aria-body di Naikon e lo strumento RAT.
Le organizzazioni prese di mira negli attacchi più recenti includono ministeri governativi e società di proprietà del governo del rispettivo paese. Un'osservazione curiosa è che una volta che Naikon prende piede in un'entità straniera, lo usa per diffondere ulteriormente il malware. Uno di questi esempi è un'ambasciata straniera che è stata utilizzata per diffondere malware al governo del paese ospitante. Questo approccio utilizza contatti noti e fidati all'interno dell'ambasciata, il che rende più facile l'infiltrazione.
In un recente attacco, il carico utile del corpo di Aria è stato consegnato tramite un file Rich Text Format chiamato "The Indian Way.doc". Il file è stato utilizzato come arma per utilizzare determinati exploit utilizzando lo strumento RoyalRoad. Una volta aperto, il file Rich Text Format rilascia un file denominato "Intel.wll", che funge da caricatore che tenta di scaricare il payload della seconda fase da un dominio remoto.
Gli esperti ritengono che lo scopo degli attacchi di Naikon sia raccogliere informazioni e spiare i governi. I cattivi attori dietro il Naikon APT possono accedere ai file sui sistemi infetti e persino registrare le sequenze di tasti e acquisire schermate. Parte del motivo per cui l'APT ha evitato il rilevamento delle sue attività più recenti per così tanto tempo è stato che Naikon utilizzava server governativi che erano già compromessi come punti di comando e controllo.
Il Naikon APT non ha ancora appeso i guanti al chiodo, certamente. Tuttavia, i criminali informatici hanno adottato alcune misure per rimanere sotto il radar dei ricercatori di sicurezza informatica.
Obiettivi Naikon APT
Il confronto tra i recenti attacchi e quelli di diversi anni fa mostra che Naikon APT continua a prendere di mira le stesse regioni. Come accennato, i loro obiettivi cinque anni fa includevano i governi della regione Asia-Pacifico e i loro recenti attacchi sembrano fare lo stesso.
Una cosa interessante da notare sul gruppo è che stanno lentamente espandendo il loro punto d'appoggio in vari governi. Il gruppo lo fa lanciando attacchi da un governo violato nel tentativo di infettare un altro governo. C'è stato un caso in cui un'ambasciata straniera ha inviato inconsapevolmente documenti infetti al governo del paese ospitante. Questo incidente mostra quanto efficacemente gli hacker stiano sfruttando contatti fidati per infiltrarsi in nuovi obiettivi e sviluppare ulteriormente la loro rete di spionaggio.
Date le capacità e gli obiettivi di Naikon APT, diventa chiaro che lo scopo dietro gli attacchi è spiare i governi bersaglio e raccogliere informazioni su di loro. Il gruppo sta raccogliendo documenti specifici dai loro obiettivi all'interno dei dipartimenti governativi, e sta anche raccogliendo dati da unità rimovibili, raccogliendo schermate di computer infetti e utilizzando i dati rubati per lo spionaggio.
Se tutto ciò non fosse già abbastanza grave, Naikon APT si è dimostrata abile nell'eludere il rilevamento quando passa attraverso le reti governative. Il gruppo lo fa compromettendo i server all'interno di un ministero infetto e utilizzando quei computer come server di comando e controllo per raccogliere e inviare i dati rubati. È quasi impossibile rintracciarli grazie a questo metodo di infezione. Questo è stato uno dei modi in cui sono stati in grado di evitare il rilevamento per cinque anni.
La catena di infezione Aria-Corpo
La ricerca mostra che il gruppo ha diversi modi per infettare i computer con Aria-Body. L'indagine sul gruppo è iniziata quando i ricercatori hanno individuato un'e-mail dannosa inviata al governo dello stato australiano da un'ambasciata governativa nella regione. Il documento infetto si chiamava "The Indians Way" ed era un file RTF. Il file è stato armato con il generatore di exploit RoyalRoad, che rilascia il caricatore intel.wll nella cartella Word sul computer. Il caricatore tenta di scaricare la fase successiva dell'infezione da spool.jtjewifyn[.]com ed eseguirla.
Questa non sarebbe la prima volta che gli hacker utilizzano il malware RoyalRoad per effettuare la consegna finale. Anche altri gruppi ATP, come Vicious Panda, utilizzano il metodo di consegna RoyalRoad. Naikon è stato anche visto utilizzare file di archivio che contengono file legittimi caricati con file DLL dannosi. Questo metodo sfrutta Outlook e altri file eseguibili legittimi per condurre un attacco informatico su un bersaglio. Naikon APT sembra essere diventato molto abile nel nascondersi in bella vista.
Il caricatore del primo stadio di Naikon
Prima che Aria-body RAT venga distribuito, il caricatore di prima fase esegue una serie di attività sul sistema infetto. Il caricatore è responsabile di garantire la persistenza sul computer della vittima, spesso utilizzando la cartella di avvio. Quindi il carico utile si inietta in un altro processo, con alcuni esempi di processi mirati che sono dllhost.exe e rundll32.exe. Il caricatore decrittografa la sua configurazione e contatta il C&C per scaricare il payload della fase successiva: l'Aria-body RAT, che viene quindi decrittografato e caricato.
Il percorso del processo Aria-corpo di Naikon
Uno sguardo più da vicino al corpo di Aria
I recenti attacchi effettuati da Naikon hanno utilizzato ancora una volta il RAT personalizzato Aria-body, probabilmente sviluppato dall'APT per i suoi scopi. Il nome del file del payload è quello che i ricercatori hanno usato per il suo nome: aria-body-dllx86.dll. Il RAT personalizzato ha le funzionalità che si trovano nella maggior parte degli altri RAT:
- manipolazione di file e directory
- prendendo screenshot
- alla ricerca di file
- avviare i file utilizzando la funzione ShellExecute
- chiusura di una sessione TCP
- controllando la posizione di un sistema vittima, utilizzando il servizio "checkip" di Amazon
I ricercatori hanno individuato diverse istanze di Aria-body che avevano anche alcune delle seguenti funzionalità:
- raccolta di dati USB
- registratore di tasti
- proxy inverso dei calzini
Il primo compito di Aria-body è raccogliere quante più informazioni possibili sul sistema vittima. I dettagli raccolti includono nome host, nome utente, versione del sistema operativo, frequenza CPU, chiave MachineGUID e indirizzo IP pubblico. Il blocco di dati raccolto viene compresso con una password generata casualmente che viene quindi crittografata.
Il RAT può comunicare con i suoi server C&C utilizzando HTTP o TCP. Quale dei protocolli viene utilizzato è determinato da un flag nella configurazione del caricatore. I dati di sistema compressi della vittima vengono trasferiti al C&C insieme alla password di archivio crittografata. Al termine del trasferimento, il RAT inizia ad ascoltare i propri C&C per i comandi in arrivo.
