Vairāku ierīču licences (apjoma atlaides)
Threat Database Advanced Persistent Threat (APT) Naikon APT

Naikon APT

Līdz GoldSparrow. gadam Advanced Persistent Threat (APT). gadā
Tulkot uz:
Latviešu

naikon apt Naikon ir APT (Advanced Persistent Threat) nosaukums, kura izcelsme, domājams, ir Ķīnā. Naikon hakeru grupa pirmo reizi tika pamanīta pirms vairāk nekā desmit gadiem, tālajā 2010. gadā. Naikon APT nokļuva virsrakstos 2015. gadā, kad ļaunprogrammatūras pētnieki atklāja infrastruktūru, ko izmantoja kiberkrāpnieki. Pateicoties šai atmaskošanai, likumsargi notvēra vienu no Naikon hakeru grupas dalībniekiem. Pēc šīs kļūdas kiberdrošības analītiķi pieņēma, ka Naikon APT ir pārtraukusi darbību. Tomēr Naikon hakeru grupa nesen ir parādījusies ar Aria-body backdoor Trojas zirgu - jaunu draudu, kam ir daudz funkciju.

Niakon uzbrūk, mēģina izvairīties no atklāšanas

Naikon APT ir hakeru grupa, kuras mērķauditorija ir valdības ierēdņi un iestādes. Lielākā daļa no Naikon hakeru grupējuma veiktajiem uzbrukumiem ir koncentrēti Filipīnās, Vjetnamā, Indonēzijā, Mjanmā, Brunejā un Austrālijā. Lielākā daļa valsts iestāžu, kuru mērķis ir Naikon APT kiberkrāpnieki, parasti darbojas ārlietu sektorā vai zinātnes un tehnoloģiju nozarē. Ir ziņots, ka daži uzņēmumi un uzņēmumi, kas pieder valdībai, ir bijuši arī Naikon APT mērķis.

Vērojot Naikon APT hakeru arsenālu, ļaunprogrammatūras pētnieki secinājuši, ka šīs personas mēdz veikt ilgstošas izlūkošanas un spiegošanas operācijas. Tas ir ļoti raksturīgi hakeru grupām, kuru mērķis ir ārvalstu valdības un amatpersonas. Nesenā Naikon operācija, kurā bija iesaistīts iepriekš minētais Aria ķermeņa uzlaušanas rīks, bija vērsta pret Austrālijas valdību. Aria-body backdoor Trojas zirga mērķis bija vākt datus un pārņemt kontroli pār mērķētām ar valdību saistītām sistēmām. Iespējams, ka pēc tam, kad 2015. gadā tika notverts viens no Naikon APT dalībniekiem, hakeru grupa nolēma sākt darboties klusāk, lai izvairītos no ļaunprātīgas programmatūras analītiķu atklāšanas. Tas, iespējams, maldināja ekspertus, liekot tiem domāt, ka Naikon hakeru grupa ir aizgājusi pensijā.

Naikon hakeru grupa izplata Aria-body ļaunprogrammatūru, izmantojot pikšķerēšanas e-pastus. Attiecīgie e-pasta ziņojumi tika izstrādāti, lai neradītu aizdomas par konkrētu mērķi. Viltus e-pastos būtu bojāts pielikums, kura mērķis ir izmantot ievainojamību, kas atrodama pakalpojumā Microsoft Office.

Naikon iegūst jaunu glābšanas līniju mērķtiecīgiem uzbrukumiem

Lai gan Naikon gadiem ilgi bija šķietami snaudošs un daži pat spekulēja, ka APT ir likvidēta pēc detalizēta 2015. gada ziņojuma par tās struktūru, tagad tas atkal ir pacēlis galvu.

Pētnieki, kas strādā ar Check Point, atklāja, ka Naikon pēdējos gadus ir nepārtraukti mērķējis uz vienu un to pašu reģionu — valstīm un organizācijām, kas atrodas Āzijas un Klusā okeāna reģionā. Teritorijas, kurām Naikon uzbruka, ir Austrālija, Indonēzija, Vjetnama, Bruneja, Taizeme un Mjanma. Galvenais šajos uzbrukumos izmantotais rīks bija Naikona Aria-body backdoor un RAT rīks.

Organizācijas, pret kurām vērsti jaunākie uzbrukumi, ir valdības ministrijas un korporācijas, kas pieder attiecīgās valsts valdībai. Interesants novērojums ir tāds, ka, tiklīdz Naikon iegūst stabilu vietu ārvalstu uzņēmumā, tas to izmanto, lai tālāk izplatītu ļaunprātīgu programmatūru. Viens no šādiem piemēriem ir ārvalstu vēstniecība, kas tika izmantota, lai izplatītu ļaunprātīgu programmatūru tās mītnes valsts valdībai. Šī pieeja izmanto zināmus un uzticamus kontaktus vēstniecībā, kas atvieglo iefiltrēšanos.

Nesenā uzbrukumā Aria korpusa krava tika piegādāta, izmantojot bagātinātā teksta formāta failu ar nosaukumu "The Indian Way.doc". Fails tika ierocis, lai izmantotu noteiktus ekspluatācijas veidus, izmantojot rīku RoyalRoad. Kad bagātinātā teksta formāta fails ir atvērts, tas nolaiž failu ar nosaukumu "Intel.wll", kas darbojas kā ielādētājs, kas mēģina lejupielādēt otrās pakāpes lietderīgo slodzi no attālā domēna.

Eksperti uzskata, ka Naikona uzbrukumu mērķis ir izlūkdatu vākšana un valdību izspiegošana. Naikon APT sliktie dalībnieki var piekļūt failiem inficētās sistēmās un pat reģistrēt taustiņsitienus un uzņemt ekrānuzņēmumus. Daļa no iemesla, kāpēc APT tik ilgi izvairījās atklāt savas jaunākās darbības, bija tas, ka Naikon kā vadības un kontroles punktus izmantoja valdības serverus, kas jau bija apdraudēti.

Protams, Naikon APT vēl nav nokārusi cimdus. Tomēr kiberkrāpnieki ir veikuši dažus pasākumus, lai paliktu zem kiberdrošības pētnieku radara.

Naikon APT mērķi

Salīdzinot nesenos uzbrukumus ar uzbrukumiem pirms vairākiem gadiem, redzams, ka Naikon APT turpina mērķēt uz tiem pašiem reģioniem. Kā minēts, viņu mērķi pirms pieciem gadiem bija valdības visā Āzijas un Klusā okeāna reģionā, un šķiet, ka to nesenie uzbrukumi dara to pašu.

Viena interesanta lieta, kas jāatzīmē grupā, ir tā, ka viņi lēnām paplašināja savu pozīciju dažādās valdībās. Grupa to dara, uzsākot uzbrukumus no vienas pārkāptas valdības, mēģinot inficēt citu valdību. Bija viens gadījums, kad ārvalstu vēstniecība neapzināti nosūtīja inficētus dokumentus mītnes valsts valdībai. Šis incidents parāda, cik efektīvi hakeri izmanto uzticamus kontaktus, lai iefiltrētos jaunos mērķos un tālāk attīstītu savu spiegošanas tīklu.

Ņemot vērā Naikon APT iespējas un mērķus, kļūst skaidrs, ka uzbrukumu mērķis ir izspiegot mērķa valdības un iegūt par tām izlūkdatus. Grupa apkopo konkrētus dokumentus no saviem mērķiem valdības departamentos, kā arī iegūst datus no noņemamiem diskdziņiem, vāc inficētu datoru ekrānuzņēmumus un izmanto nozagtos datus spiegošanai.

Ja tas viss nebūtu pietiekami slikti, Naikon APT ir izrādījies prasmīgs, izvairoties no atklāšanas, šķērsojot valdības tīklus. Grupa to dara, kompromitējot inficētās ministrijas serverus un izmantojot šos datorus kā komandu un kontroles serveri, lai savāktu un nosūtītu nozagtos datus. Pateicoties šai infekcijas metodei, ir gandrīz neiespējami tos izsekot. Tas bija viens no veidiem, kā viņi varēja izvairīties no atklāšanas piecus gadus.

Ārijas-ķermeņa infekcijas ķēde

Pētījumi liecina, ka grupai ir vairāki dažādi veidi, kā inficēt datorus ar Aria-Body. Grupas izmeklēšana sākās, kad pētnieki pamanīja ļaunprātīgu e-pastu, ko Austrālijas štata valdībai nosūtīja valdības vēstniecība reģionā. Inficētais dokuments saucās "Indiešu ceļš", un tas bija RTF fails. Fails tika bruņots ar RoyalRoad exploit builder, kas nolaiž ielādētāju intel.wll datora Word mapē. Ielādētājs mēģina lejupielādēt nākamo infekcijas posmu no spool.jtjewifyn[.]com un izpildīt to.

Šī nebūtu pirmā reize, kad hakeri ir izmantojuši RoyalRoad ļaunprogrammatūru, lai veiktu galīgo piegādi. Citas ATP grupas, piemēram, Vicious Panda, arī izmanto RoyalRoad piegādes metodi. Ir novērots, ka Naikon izmanto arī arhīva failus, kas satur likumīgus failus, kas ielādēti ar ļaunprātīgiem DLL failiem. Šī metode izmanto Outlook un citu likumīgu izpildāmo failu priekšrocības, lai veiktu kiberuzbrukumu mērķim. Šķiet, ka Naikon APT ir ļoti prasmīgi paslēpties redzamā vietā.

Naikon pirmā posma iekrāvējs

Pirms Aria-body RAT izvietošanas pirmā posma iekrāvējs veic vairākus uzdevumus inficētajā sistēmā. Iekrāvējs ir atbildīgs par upura datora noturības nodrošināšanu, bieži izmantojot mapi Startup. Pēc tam lietderīgā slodze tiek ievadīta citā procesā, un daži mērķprocesu piemēri ir dllhost.exe un rundll32.exe. Iekrāvējs atšifrē savu konfigurāciju un sazinās ar C&C, lai lejupielādētu nākamā posma kravnesību — Aria-body RAT, kas pēc tam tiek atšifrēta un ielādēta.

naikon apt procesa ceļš
Naikona ārijas-ķermeņa procesa ceļš

Ciešāk apskatiet Ārijas ķermeni

Nesenie Naikon uzbrukumi atkal izmantoja Aria ķermeņa pielāgoto RAT, ko, iespējams, saviem mērķiem izstrādāja APT. Kravas faila nosaukums ir tas, ko pētnieki izmantoja tās nosaukumam — aria-body-dllx86.dll. Pielāgotajam RAT ir funkcionalitāte, kas atrodama lielākajā daļā citu RAT:

  • manipulācijas ar failiem un direktorijiem
  • ekrānuzņēmumu uzņemšana
  • failu meklēšana
  • failu palaišana, izmantojot funkciju ShellExecute
  • aizverot TCP sesiju
  • upura sistēmas atrašanās vietas pārbaude, izmantojot Amazon “checkip” pakalpojumu

Pētnieki ir atklājuši dažādus Aria korpusa gadījumus, kuriem bija arī dažas no šīm funkcijām:

  • USB datu apkopošana
  • taustiņsitienu reģistrētājs
  • apgrieztās zeķes starpniekserveris

Aria-body pirmais uzdevums ir nokasīt pēc iespējas vairāk informācijas par upura sistēmu. Apkopotā informācija ietver resursdatora nosaukumu, lietotājvārdu, OS versiju, CPU frekvenci, MachineGUID atslēgu un publisko IP adresi. Savāktā datu daļa tiek saspiesta ar nejauši ģenerētu paroli, kas pēc tam tiek šifrēta.

RAT var sazināties ar saviem C&C serveriem, izmantojot HTTP vai TCP. Kurš no protokoliem tiek izmantots, nosaka karodziņš iekrāvēja konfigurācijā. Upura zip sistēmas dati tiek pārsūtīti uz C&C kopā ar šifrēto arhīva paroli. Kad pārsūtīšana ir pabeigta, RAT sāk klausīties savas C&C ienākošās komandas.

Tendences

Visvairāk skatīts

“Geek Squad” e-pasta krāpniecība

Phishing, Spam
14,963
Populārs tehniskā atbalsta sniedzējs Geek Squad ir kļuvis par pikšķerēšanas krāpniecības upuri, ko sauc par Geek Squad e-pasta krāpniecību. Šajā tehniskā atbalsta krāpniecībā tiek izmantoti viltoti e-pasta ziņojumi, kas liek cilvēkiem izpaust savu personisko informāciju, piemēram, kredītkartes datus, e-pasta adreses un pat sociālās apdrošināšanas numurus. Šajā rakstā mēs apspriedīsim pašu...
Notiek ielāde...