나이콘 아파트

Naikon은 중국에서 발원한 것으로 추정되는 APT(Advanced Persistent Threat)의 이름입니다. Naikon 해킹 그룹은 10여 년 전인 2010년에 처음 발견되었습니다. Naikon APT는 2015년 사이버 사기꾼이 사용하는 인프라가 멀웨어 연구원에 의해 발견되었을 때 헤드라인을 장식했습니다. 이 폭로 덕분에 Naikon 해킹 그룹의 구성원 중 한 명이 법 집행 기관에 적발되었습니다. 이러한 실수 이후 사이버 보안 분석가들은 Naikon APT가 폐업했다고 가정했습니다. 그러나 최근 Naikon 해킹 그룹이 Aria-body 백도어 트로이 목마로 다시 등장했습니다. 이는 다양한 기능을 갖춘 새로운 위협입니다.

Niakon, 탐지 회피 시도 공격

Naikon APT는 정부 관리 및 기관을 표적으로 삼는 해킹 그룹입니다. 나이콘 해킹 그룹이 수행하는 공격의 대부분은 필리핀, 베트남, 인도네시아, 미얀마, 브루나이, 호주에 집중되어 있습니다. Naikon APT의 사이버 범죄자들의 표적이 된 정부 기관의 대부분은 일반적으로 외교 부문이나 과학 기술 산업에서 활동합니다. 정부 소유인 일부 기업과 기업도 Naikon APT의 표적이 된 것으로 알려졌습니다.

Naikon APT의 해킹 무기고를 관찰하면서 맬웨어 연구원은 이러한 개인이 장기간 정찰 및 간첩 활동을 수행하는 경향이 있다고 결론지었습니다. 이는 외국 정부 및 공무원을 대상으로 하는 해킹 그룹에 매우 일반적입니다. 앞서 언급한 Aria-body 해킹 도구와 관련된 최근 Naikon 작업은 호주 정부를 표적으로 삼았습니다. Aria-body 백도어 트로이 목마의 목표는 데이터를 수집하고 목표로 삼은 정부 연결 시스템을 제어하는 것이었습니다. Naikon APT의 구성원 중 한 명이 2015년에 다시 잡혀간 후, 해킹 그룹은 맬웨어 분석가의 탐지를 피하기 위해 더 조용히 작동하기 시작했을 가능성이 큽니다. 이것은 전문가들이 Naikon 해킹 그룹이 은퇴했다고 믿도록 오도했을 가능성이 있습니다.

Naikon 해킹 그룹은 스피어 피싱 이메일을 통해 Aria-body 악성코드를 전파합니다. 문제의 이메일은 특히 대상에 대한 의혹을 제기하지 않도록 조작되었습니다. 가짜 이메일에는 Microsoft Office 서비스에서 찾을 수 있는 취약점을 악용하는 것이 목표인 손상된 첨부 파일이 포함됩니다.

Naikon, 표적 공격을 위한 새로운 라이프라인 확보

Naikon은 수년 동안 겉보기에 휴면 상태로 남아 있었고 일부에서는 APT 구조에 대한 자세한 2015년 보고서에 따라 APT가 해산되었다고 추측하기까지 했지만 이제 다시 고개를 들었습니다.

Check Point와 함께 일하는 연구원들은 Naikon이 아시아 태평양 지역에 위치한 국가 및 조직과 같은 동일한 지역을 지속적으로 타겟팅하는 데 지난 몇 년을 보냈다는 사실을 발견했습니다. 나이콘의 공격을 받은 영토에는 호주, 인도네시아, 베트남, 브루나이, 태국, 미얀마가 포함됩니다. 이러한 공격에 사용된 주요 도구는 Naikon의 Aria-body 백도어와 RAT 도구였습니다.

최근 공격의 표적이 된 조직에는 정부 부처와 해당 국가의 정부 소유 기업이 포함됩니다. 흥미로운 사실은 Naikon이 외국 기업에 발판을 마련하면 이를 사용하여 멀웨어를 추가로 퍼뜨릴 수 있다는 것입니다. 그러한 예 중 하나는 호스트 국가의 정부에 맬웨어를 전파하는 데 사용된 외국 대사관입니다. 이 접근 방식은 대사관 내 알려진 신뢰할 수 있는 연락처를 사용하므로 침투가 더 쉽습니다.

최근 공격에서 Aria-body 페이로드는 "The Indian Way.doc"이라는 Rich Text Format 파일을 통해 전달되었습니다. 파일은 RoyalRoad 도구를 사용하여 특정 익스플로잇을 사용하도록 무기화되었습니다. 서식 있는 텍스트 형식 파일이 열리면 원격 도메인에서 2단계 페이로드를 다운로드하려고 시도하는 로더 역할을 하는 "Intel.wll"이라는 파일이 삭제됩니다.

전문가들은 Naikon의 공격 목적이 정보를 수집하고 정부를 염탐하는 것으로 보고 있습니다. Naikon APT 배후의 악의적인 사용자는 감염된 시스템의 파일에 액세스하고 키 입력을 기록하고 스크린샷을 찍을 수도 있습니다. APT가 최근 활동에 대한 탐지를 오랫동안 회피한 이유 중 하나는 Naikon이 이미 손상된 정부 서버를 명령 및 제어 지점으로 사용했기 때문입니다.

Naikon APT는 아직 장갑을 끊지 않았습니다. 그러나 사이버 사기꾼은 사이버 보안 연구원의 레이더 아래에 남아 있기 위해 몇 가지 조치를 취했습니다.

나이콘 APT 타겟

최근 공격을 몇 년 전 공격과 비교하면 Naikon APT가 계속해서 동일한 지역을 표적으로 삼고 있음을 알 수 있습니다. 언급한 바와 같이 5년 전 그들의 표적에는 아시아 태평양 지역의 정부가 포함되었으며 최근의 공격도 동일한 것으로 보입니다.

이 그룹에 대해 주목해야 할 한 가지 흥미로운 점은 그들이 다양한 정부에서 천천히 발판을 확장하고 있다는 것입니다. 이 그룹은 다른 정부를 감염시키려는 시도로 침해된 정부로부터 공격을 시작하여 이를 수행합니다. 외국 대사관이 자신도 모르게 감염 문서를 주재국 정부에 보낸 사례가 1건 있었다. 이 사건은 해커가 신뢰할 수 있는 연락처를 악용하여 새로운 표적에 침투하고 스파이 네트워크를 더욱 발전시키는 방법을 보여줍니다.

Naikon APT의 능력과 표적을 감안할 때 공격의 목적은 표적 정부를 염탐하고 정보를 수집하는 것임이 분명해졌습니다. 이 그룹은 정부 부처 내의 표적에서 특정 문서를 수집하고 이동식 드라이브에서 데이터를 수집하고 감염된 컴퓨터의 스크린샷을 수집하고 훔친 데이터를 스파이 활동에 사용합니다.

이 모든 것이 충분하지 않다면 Naikon APT는 정부 네트워크를 통과할 때 탐지를 피하는 데 능숙하다는 것이 입증되었습니다. 이 그룹은 감염된 사역 내의 서버를 손상시키고 해당 컴퓨터를 명령 및 제어 서버로 사용하여 도난당한 데이터를 수집하고 전송함으로써 이를 수행합니다. 이 감염 방법 덕분에 추적하는 것은 거의 불가능합니다. 이것은 그들이 5년 동안 적발을 피할 수 있었던 방법 중 하나였습니다.

Aria-바디 감염 사슬

연구에 따르면 이 그룹은 Aria-Body로 컴퓨터를 감염시키는 여러 가지 방법을 가지고 있습니다. 이 그룹에 대한 조사는 연구원들이 해당 지역의 정부 대사관이 호주 주정부에 보낸 악성 이메일을 발견하면서 시작되었습니다. 감염된 문서의 이름은 '인디언스 웨이'로 RTF 파일이었다. 파일은 Intel.wll 로더를 컴퓨터의 Word 폴더에 떨어뜨리는 RoyalRoad 익스플로잇 빌더로 무기화되었습니다. 로더는 spool.jtjewifyn[.]com에서 감염의 다음 단계를 다운로드하여 실행을 시도합니다.

해커가 RoyalRoad 악성코드를 사용하여 최종 전달을 한 것은 이번이 처음이 아닙니다. Vicious Panda와 같은 다른 ATP 그룹도 RoyalRoad 전달 방법을 사용합니다. Naikon은 또한 악성 DLL 파일이 로드된 합법적인 파일이 포함된 아카이브 파일을 사용하는 것으로 나타났습니다. 이 방법은 Outlook 및 기타 합법적인 실행 파일을 활용하여 대상에 대한 사이버 공격을 수행합니다. Naikon APT는 눈에 잘 띄지 않게 숨기는 데 매우 능숙한 것으로 보입니다.

나이콘 1단 로더

Aria-body RAT가 배포되기 전에 1단계 로더는 감염된 시스템에서 여러 작업을 수행합니다. 로더는 종종 Startup 폴더를 사용하여 피해자의 시스템에서 지속성을 보장하는 역할을 합니다. 그런 다음 페이로드는 dllhost.exe 및 rundll32.exe를 대상으로 하는 프로세스의 몇 가지 예와 함께 다른 프로세스에 자신을 주입합니다. 로더는 구성을 해독하고 C&C에 연락하여 다음 단계 페이로드(Aria-body RAT)를 다운로드한 다음 해독되고 로드됩니다.

Naikon의 Aria-body 프로세스 경로

Aria-body 자세히 살펴보기

최근 Naikon이 수행한 공격은 APT가 해당 목적으로 개발한 Aria-body 맞춤형 RAT를 다시 한 번 사용했습니다. 페이로드의 파일 이름은 연구자들이 aria-body-dllx86.dll이라는 이름으로 사용한 것입니다. 사용자 지정 RAT에는 대부분의 다른 RAT에서 볼 수 있는 기능이 있습니다.

• 파일 및 디렉토리 조작
• 스크린샷 찍기
• 파일 검색
• ShellExecute 함수를 사용하여 파일 실행
• TCP 세션 닫기
• Amazon의 'checkip' 서비스를 사용하여 피해자 시스템의 위치 확인

연구원들은 다음 기능 중 일부를 포함하는 다양한 Aria-body 인스턴스를 발견했습니다.

• USB 데이터 수집
• 키스트로크 로거
• 리버스 양말 프록시

Aria-body의 첫 번째 임무는 피해자 시스템에 대한 최대한 많은 정보를 스크랩하는 것입니다. 수집된 세부 정보에는 호스트 이름, 사용자 이름, OS 버전, CPU 주파수, MachineGUID 키 및 공용 IP 주소가 포함됩니다. 수집된 데이터 청크는 무작위로 생성된 암호로 압축된 다음 암호화됩니다.

RAT는 HTTP 또는 TCP를 사용하여 C&C 서버와 통신할 수 있습니다. 사용되는 프로토콜은 로더 구성의 플래그에 의해 결정됩니다. 피해자의 압축된 시스템 데이터는 암호화된 아카이브 암호와 함께 C&C로 전송됩니다. 전송이 완료된 후 RAT는 들어오는 명령에 대한 C&C를 수신하기 시작합니다.