Kelių įrenginių licencijos (tūrinės nuolaidos)
Threat Database Advanced Persistent Threat (APT) Naikon APT

Naikon APT

Autorius GoldSparrow, Advanced Persistent Threat (APT)
Versti į:
Lietuvių

naikon apt Naikon yra APT (Advanced Persistent Threat), kuris, kaip manoma, kilęs iš Kinijos, pavadinimas. Naikon įsilaužimo grupė pirmą kartą buvo pastebėta daugiau nei prieš dešimtmetį, dar 2010 m. Naikon APT pateko į antraštes 2015 m., kai kenkėjiškų programų tyrinėtojai atskleidė infrastruktūrą, kurią naudoja kibernetiniai sukčiai. Dėl šios demaskacijos teisėsaugai įkliuvo vienas iš „Naikon“ įsilaužimo grupės narių. Po šios klaidos kibernetinio saugumo analitikai manė, kad Naikon APT nustojo veikti. Tačiau „Naikon“ įsilaužimo grupė neseniai atsirado su „Aria-body“ užpakalinių durų Trojos arkliu – nauja grėsme, kuri turi daugybę funkcijų.

„Niakon Attacks“ bando išvengti aptikimo

Naikon APT yra įsilaužimo grupė, kuri yra linkusi nusitaikyti į vyriausybės pareigūnus ir institucijas. Dauguma programišių grupės „Naikon“ įvykdytų atakų sutelktos Filipinuose, Vietname, Indonezijoje, Mianmare, Brunėjuje ir Australijoje. Dauguma vyriausybinių institucijų, į kurias nusitaiko kibernetiniai sukčiai iš Naikon APT, paprastai veikia užsienio reikalų sektoriuje arba mokslo ir technologijų pramonėje. Pranešama, kad Naikon APT taikėsi ir į kai kurias įmones ir bendroves, kurios priklauso vyriausybei.

Stebėdami Naikon APT įsilaužimo arsenalą, kenkėjiškų programų tyrinėtojai padarė išvadą, kad šie asmenys linkę vykdyti ilgalaikes žvalgybos ir šnipinėjimo operacijas. Tai labai būdinga įsilaužimo grupėms, kurios taikosi į užsienio vyriausybes ir pareigūnus. Neseniai atlikta „Naikon“ operacija, kurios metu buvo panaudotas minėtas Aria kūno įsilaužimo įrankis, buvo nukreiptas prieš Australijos vyriausybę. Aria-body backdoor Trojos arklys tikslas buvo rinkti duomenis ir perimti tikslinių su vyriausybe susietų sistemų valdymą. Tikėtina, kad po to, kai dar 2015 metais buvo sučiuptas vienas iš Naikon APT narių, įsilaužėlių grupė nusprendė pradėti veikti tyliau, kad išvengtų kenkėjiškų programų aptikimo. Tai greičiausiai suklaidino ekspertus, manydami, kad „Naikon“ įsilaužimo grupė pasitraukė.

Naikon įsilaužimo grupė platina Aria-body kenkėjišką programinę įrangą per sukčiavimo el. laiškus. Aptariami el. laiškai buvo sukurti taip, kad nekiltų įtarimų dėl tikslo. Suklastotuose el. laiškuose būtų sugadintas priedas, kurio tikslas yra išnaudoti pažeidžiamumą, kurį galima rasti „Microsoft Office“ paslaugoje.

Naikonas gauna naują gelbėjimo liniją tikslinėms atakoms

Nors „Naikon“ daugelį metų atrodė neveikiantis, o kai kurie net spėliojo, kad APT buvo išformuota po išsamios 2015 m. ataskaitos apie jos struktūrą, dabar ji vėl pakėlė galvą.

Tyrėjai, dirbantys su „Check Point“, išsiaiškino, kad „Naikon“ pastaruosius kelerius metus nuolat taikėsi į tą patį regioną – šalis ir organizacijas, esančias Azijos Ramiojo vandenyno regione. Naikono atakuotos teritorijos yra Australija, Indonezija, Vietnamas, Brunėjus, Tailandas ir Mianmaras. Pagrindinis šių išpuolių įrankis buvo Naikono Aria-body backdoor ir RAT įrankis.

Į naujesnius išpuolius nukreiptos organizacijos yra vyriausybės ministerijos ir atitinkamos šalies vyriausybei priklausančios korporacijos. Įdomus pastebėjimas yra tas, kad kai „Naikon“ įsitvirtina užsienio įmonėje, ji ją naudoja toliau platindama kenkėjiškas programas. Vienas iš tokių pavyzdžių yra užsienio ambasada, kuri buvo naudojama kenkėjiškoms programoms platinti priimančiosios šalies vyriausybei. Taikant šį metodą naudojami žinomi ir patikimi kontaktai ambasadoje, o tai palengvina įsiskverbimą.

Neseniai per ataką „Aria“ korpusas buvo pristatytas per raiškiojo teksto formato failą, pavadintą „The Indian Way.doc“. Failas buvo ginkluotas naudoti tam tikrus išnaudojimus naudojant „ RoyalRoad“ įrankį. Atidarius raiškiojo teksto formato failą, jis išmeta failą pavadinimu „Intel.wll“, kuris veikia kaip įkroviklis, bandantis atsisiųsti antrojo etapo naudingą apkrovą iš nuotolinio domeno.

Ekspertai mano, kad Naikono atakų tikslas – rinkti žvalgybos duomenis ir šnipinėti vyriausybes. Blogi „Naikon APT“ veikėjai gali pasiekti užkrėstų sistemų failus ir net registruoti klavišų paspaudimus bei daryti ekrano kopijas. Viena iš priežasčių, kodėl APT taip ilgai vengė aptikti savo naujesnę veiklą, buvo ta, kad Naikon kaip valdymo ir valdymo taškus naudojo vyriausybinius serverius, kurie jau buvo pažeisti.

Naikon APT, žinoma, dar nepakabino pirštinių. Tačiau kibernetiniai sukčiai ėmėsi tam tikrų priemonių, kad liktų kibernetinio saugumo tyrinėtojų radaru.

Naikon APT taikiniai

Palyginus naujausius išpuolius su prieš kelerius metus įvykusiomis atakomis, matyti, kad Naikon APT ir toliau taikosi į tuos pačius regionus. Kaip minėta, prieš penkerius metus jų taikiniai buvo Azijos ir Ramiojo vandenyno regiono vyriausybės, o pastarieji išpuoliai, atrodo, daro tą patį.

Vienas įdomus dalykas, kurį reikia pastebėti apie grupę, yra tai, kad jie pamažu plečia savo pozicijas įvairiose vyriausybėse. Grupė tai daro pradėdama vienos pažeistos vyriausybės išpuolius, bandydama užkrėsti kitą vyriausybę. Buvo vienas atvejis, kai užsienio ambasada nesąmoningai išsiuntė užkrėstus dokumentus priimančiosios šalies vyriausybei. Šis incidentas parodo, kaip efektyviai įsilaužėliai naudojasi patikimais kontaktais, kad įsiskverbtų į naujus taikinius ir toliau plėtotų savo šnipinėjimo tinklą.

Atsižvelgiant į Naikon APT galimybes ir tikslus, tampa aišku, kad atakų tikslas yra šnipinėti tikslines vyriausybes ir rinkti apie jas žvalgybos duomenis. Grupė renka konkrečius dokumentus iš savo objektų vyriausybės departamentuose, taip pat renka duomenis iš keičiamųjų diskų, renka užkrėstų kompiuterių ekrano kopijas ir naudoja pavogtus duomenis šnipinėjimui.

Jei visa tai nebuvo pakankamai blogai, Naikon APT įrodė, kad puikiai išvengia aptikimo, kai praeina per vyriausybinius tinklus. Grupė tai daro pažeidžiant užkrėstos ministerijos serverius ir naudodama tuos kompiuterius kaip komandų ir valdymo serverį pavogtiems duomenims rinkti ir siųsti. Dėl šio infekcijos metodo jų atsekti beveik neįmanoma. Tai buvo vienas iš būdų, kaip jiems pavyko išvengti aptikimo penkerius metus.

Aria-kūno infekcijos grandinė

Tyrimai rodo, kad grupė turi keletą skirtingų būdų užkrėsti kompiuterius Aria-Body. Grupės tyrimas prasidėjo, kai mokslininkai pastebėjo kenkėjišką el. laišką, kurį Australijos valstijos vyriausybei išsiuntė vyriausybės ambasada regione. Užkrėstas dokumentas buvo vadinamas „Indėnų keliu“ ir buvo RTF failas. Failas buvo ginkluotas naudojant RoyalRoad exploit builder, kuris numeta intel.wll įkroviklį į kompiuterio Word aplanką. Įkroviklis bando atsisiųsti kitą infekcijos etapą iš spool.jtjewifyn[.]com ir jį vykdyti.

Tai būtų ne pirmas kartas, kai įsilaužėliai panaudojo „RoyalRoad“ kenkėjišką programinę įrangą galutiniam pristatymui. Kitos ATP grupės, tokios kaip Vicious Panda, taip pat naudoja RoyalRoad pristatymo būdą. Taip pat buvo pastebėta, kad „Naikon“ naudoja archyvinius failus, kuriuose yra teisėtų failų, įkeltų kenkėjiškų DLL failų. Šis metodas naudoja „Outlook“ ir kitų teisėtų vykdomųjų failų pranašumus, kad būtų įvykdyta kibernetinė ataka prieš taikinį. Atrodo, kad Naikon APT labai įgudęs slėptis matomoje vietoje.

Naikon pirmos pakopos krautuvas

Prieš diegiant Aria-body RAT, pirmosios pakopos įkroviklis atlieka keletą užduočių užkrėstoje sistemoje. Įkroviklis yra atsakingas už išlikimą aukos kompiuteryje, dažnai naudodamas paleisties aplanką. Tada naudingoji apkrova patenka į kitą procesą, kai kurie tikslinių procesų pavyzdžiai yra dllhost.exe ir rundll32.exe. Įkroviklis iššifruoja savo konfigūraciją ir susisiekia su C&C, kad atsisiųstų kito etapo naudingąją apkrovą – Aria-body RAT, kuri vėliau iššifruojama ir įkeliama.

naikon apt proceso kelias
Naikono arijos kūno proceso kelias

Atidžiau pažvelkite į Aria kūną

Neseniai „Naikon“ įvykdytose atakose dar kartą buvo naudojamas „Aria-body“ pritaikytas RAT, kurį greičiausiai sukūrė APT savo tikslams. Naudingojo krovinio failo pavadinimą tyrėjai naudojo jo pavadinimui – aria-body-dllx86.dll. Pasirinktinis RAT turi tas funkcijas, kurios yra daugelyje kitų RAT:

  • manipuliavimas failais ir katalogais
  • darant ekrano kopijas
  • ieškant failų
  • paleisti failus naudojant funkciją ShellExecute
  • TCP seanso uždarymas
  • patikrinti aukos sistemos vietą, naudojant „Amazon“ „patikrinimo“ paslaugą

Tyrėjai pastebėjo skirtingus Aria kūno atvejus, kurie taip pat turėjo kai kurias iš šių funkcijų:

  • USB duomenų rinkimas
  • klavišų paspaudimų registratorius
  • atvirkštinės kojinės tarpinis serveris

Pirmoji Aria-body užduotis yra iškrapštyti kuo daugiau informacijos apie aukos sistemą. Surinkta išsami informacija apima pagrindinio kompiuterio pavadinimą, vartotojo vardą, OS versiją, procesoriaus dažnį, MachineGUID raktą ir viešąjį IP adresą. Surinkta duomenų dalis suglaudinama naudojant atsitiktinai sugeneruotą slaptažodį, kuris vėliau užšifruojamas.

RAT gali susisiekti su savo C&C serveriais naudodamas HTTP arba TCP. Kuris iš protokolų yra naudojamas, nustatomas pagal vėliavėlę krautuvo konfigūracijoje. Aukos suglaudinti sistemos duomenys kartu su užšifruotu archyvo slaptažodžiu perduodami į C&C. Baigus perkėlimą, RAT pradeda klausytis gaunamų komandų C&C.

Tendencijos

Labiausiai žiūrima

„Geek Squad“ el. pašto sukčiavimas

Phishing, Spam
14,963
„Geek Squad“, populiarus techninės pagalbos teikėjas, tapo sukčiavimo sukčiavimo, vadinamo „Geek Squad“ el. pašto sukčiavimu, auka. Ši techninės pagalbos afera naudoja netikrus el. laiškus, kurie apgaudinėja žmones, kad jie atskleistų savo asmeninę informaciją, pvz., kredito kortelės duomenis, el. pašto adresus ir net socialinio draudimo numerius. Šiame straipsnyje aptarsime patį sukčiavimą,...
Įkeliama...