Naikon APT

Naikon adalah nama APT (Advanced Persistent Threat) yang dipercayai berasal dari China. Kumpulan penggodaman Naikon pertama kali dikesan lebih sedekad yang lalu, pada tahun 2010. APT Naikon menjadi tajuk utama pada tahun 2015 apabila infrastruktur yang digunakan oleh penjahat siber ditemui oleh penyelidik perisian hasad. Terima kasih kepada pendedahan ini, salah seorang ahli kumpulan penggodam Naikon telah ditangkap oleh penguatkuasa undang-undang. Selepas kesilapan ini, penganalisis keselamatan siber menganggap bahawa APT Naikon telah gulung tikar. Walau bagaimanapun, kumpulan penggodaman Naikon telah muncul semula dengan Trojan pintu belakang badan Aria baru-baru ini - ancaman baharu yang mempunyai pelbagai ciri.

Niakon Menyerang Percubaan Mengelak Pengesanan

APT Naikon ialah kumpulan penggodaman yang cenderung menyasarkan pegawai dan institusi kerajaan. Kebanyakan serangan yang dilakukan oleh kumpulan penggodam Naikon tertumpu di Filipina, Vietnam, Indonesia, Myanmar, Brunei dan Australia. Kebanyakan institusi kerajaan yang menjadi sasaran penyangak siber dari APT Naikon biasanya beroperasi dalam sektor hal ehwal luar atau industri sains dan teknologi. Beberapa perniagaan dan syarikat, yang dimiliki oleh kerajaan, dilaporkan turut disasarkan oleh APT Naikon.

Memerhatikan senjata penggodaman APT Naikon, penyelidik perisian hasad telah membuat kesimpulan bahawa individu ini cenderung untuk menjalankan operasi peninjauan dan pengintipan jangka panjang. Ini sangat biasa untuk kumpulan penggodaman yang menyasarkan kerajaan dan pegawai asing. Operasi Naikon baru-baru ini yang melibatkan alat penggodaman badan Aria yang disebutkan di atas menyasarkan kerajaan Australia. Matlamat Trojan pintu belakang badan Aria adalah untuk mengumpul data dan mengawal sistem berkaitan kerajaan yang disasarkan. Berkemungkinan selepas salah seorang ahli Naikon APT ditangkap kembali pada 2015, kumpulan penggodaman memutuskan untuk mula beroperasi dengan lebih senyap bagi mengelak pengesanan oleh penganalisis perisian hasad. Ini mungkin mengelirukan pakar untuk mempercayai bahawa kumpulan penggodam Naikon telah bersara.

Kumpulan penggodam Naikon menyebarkan perisian hasad badan Aria melalui e-mel spear-phishing. E-mel yang dipersoalkan telah dibuat untuk mengelak menimbulkan syak wasangka terhadap sasaran secara khusus. E-mel palsu akan mengandungi lampiran rosak yang matlamatnya adalah untuk mengeksploitasi kelemahan yang boleh didapati dalam perkhidmatan Microsoft Office.

Naikon Mendapat Talian Hayat Baharu untuk Serangan Bersasar

Walaupun Naikon kelihatan tidak aktif selama bertahun-tahun dan ada juga yang membuat spekulasi bahawa APT telah dibubarkan berikutan laporan terperinci 2015 mengenai strukturnya, ia kini sekali lagi bangkit.

Penyelidik yang bekerja dengan Check Point mendapati bahawa Naikon menghabiskan beberapa tahun kebelakangan ini secara berterusan menyasarkan rantau yang sama - negara dan organisasi yang terletak di rantau Asia Pasifik. Wilayah yang diserang oleh Naikon termasuk Australia, Indonesia, Vietnam, Brunei, Thailand dan Myanmar. Alat utama yang digunakan dalam serangan tersebut ialah pintu belakang badan Aria Naikon dan alat RAT.

Organisasi yang disasarkan dalam serangan baru-baru ini termasuk kementerian dan syarikat kerajaan yang dimiliki oleh kerajaan negara masing-masing. Pemerhatian yang ingin tahu ialah apabila Naikon bertapak dalam entiti asing, ia kemudian menggunakannya untuk menyebarkan lagi perisian hasad. Satu contoh sedemikian ialah kedutaan asing yang digunakan untuk menyebarkan perisian hasad kepada kerajaan negara tuan rumahnya. Pendekatan ini menggunakan kenalan yang dikenali dan dipercayai dalam kedutaan, yang menjadikan penyusupan lebih mudah.

Dalam serangan baru-baru ini, muatan badan Aria telah dihantar melalui fail Format Teks Kaya yang dinamakan "The Indian Way.doc". Fail itu dipersenjatai untuk menggunakan eksploitasi tertentu menggunakan alat RoyalRoad. Sebaik sahaja fail Format Teks Kaya dibuka, ia menjatuhkan fail bernama "Intel.wll", yang bertindak sebagai pemuat yang cuba memuat turun muatan peringkat kedua daripada domain jauh.

Pakar percaya tujuan serangan Naikon adalah mengumpulkan risikan dan mengintip kerajaan. Pelakon jahat di sebalik APT Naikon boleh mengakses fail pada sistem yang dijangkiti dan juga log ketukan kekunci dan mengambil tangkapan skrin. Sebahagian daripada sebab mengapa APT mengelak pengesanan aktiviti terbarunya untuk sekian lama ialah Naikon menggunakan pelayan kerajaan yang telah terjejas sebagai titik arahan dan kawalannya.

APT Naikon belum lagi meletakkan sarung tangan mereka. Walau bagaimanapun, penyangak siber telah mengambil beberapa langkah untuk kekal di bawah radar penyelidik keselamatan siber.

Sasaran APT Naikon

Membandingkan serangan baru-baru ini dengan serangan beberapa tahun lalu menunjukkan bahawa Naikon APT terus menyasarkan wilayah yang sama. Seperti yang dinyatakan, sasaran mereka lima tahun lalu termasuk kerajaan di seluruh rantau Asia-Pasifik, dan serangan mereka baru-baru ini nampaknya melakukan perkara yang sama.

Satu perkara yang menarik untuk diberi perhatian tentang kumpulan itu ialah mereka perlahan-lahan mengembangkan kedudukan mereka dalam pelbagai kerajaan. Kumpulan itu melakukan ini dengan melancarkan serangan daripada satu kerajaan yang dilanggar dalam usaha untuk menjangkiti kerajaan lain. Terdapat satu kes di mana kedutaan asing secara tidak sedar menghantar dokumen yang dijangkiti kepada kerajaan negara tuan rumahnya. Insiden ini menunjukkan betapa berkesannya penggodam mengeksploitasi kenalan yang dipercayai untuk menyusup ke sasaran baharu dan terus membangunkan rangkaian pengintipan mereka.

Memandangkan keupayaan dan sasaran APT Naikon, menjadi jelas bahawa tujuan di sebalik serangan adalah untuk mengintip kerajaan sasaran dan mengumpulkan risikan mengenainya. Kumpulan itu sedang mengumpulkan dokumen khusus daripada sasaran mereka dalam jabatan kerajaan, dan juga merebut data daripada pemacu boleh tanggal, mengumpul tangkapan skrin komputer yang dijangkiti, dan menggunakan data yang dicuri untuk pengintipan.

Jika semua itu tidak cukup buruk, Naikon APT telah terbukti mahir mengelak pengesanan apabila melalui rangkaian kerajaan. Kumpulan itu melakukan ini dengan menjejaskan pelayan dalam kementerian yang dijangkiti dan menggunakan komputer tersebut sebagai pelayan arahan dan kawalan untuk mengumpul dan menghantar data yang dicuri. Ia hampir mustahil untuk mengesan mereka terima kasih kepada kaedah jangkitan ini. Ini adalah salah satu cara mereka dapat mengelakkan pengesanan selama lima tahun.

Rantaian Jangkitan Badan Aria

Penyelidikan menunjukkan kumpulan itu mempunyai beberapa cara berbeza untuk menjangkiti komputer dengan Aria-Body. Siasatan terhadap kumpulan itu bermula apabila penyelidik melihat e-mel berniat jahat yang dihantar kepada kerajaan negeri Australia oleh kedutaan kerajaan di wilayah itu. Dokumen yang dijangkiti itu dipanggil "The Indians Way" dan merupakan fail RTF. Fail itu dipersenjatai dengan pembina eksploitasi RoyalRoad, yang menjatuhkan pemuat intel.wll ke dalam folder Word pada komputer. Pemuat cuba memuat turun peringkat jangkitan seterusnya daripada spool.jtjewifyn[.]com dan melaksanakannya.

Ini bukan kali pertama penggodam menggunakan perisian hasad RoyalRoad untuk membuat penghantaran terakhir. Kumpulan ATP lain, seperti Vicious Panda, juga menggunakan kaedah penghantaran RoyalRoad. Naikon juga telah dilihat menggunakan fail arkib yang mengandungi fail sah yang dimuatkan dengan fail DLL yang berniat jahat. Kaedah ini mengambil kesempatan daripada Outlook dan fail boleh laku yang sah yang lain untuk melakukan serangan siber ke atas sasaran. Naikon APT nampaknya sangat mahir bersembunyi di hadapan mata.

Pemuat Peringkat Pertama Naikon

Sebelum RAT badan Aria digunakan, pemuat peringkat pertama melakukan beberapa tugas pada sistem yang dijangkiti. Pemuat bertanggungjawab untuk memastikan kegigihan pada mesin mangsa, selalunya menggunakan folder Startup. Kemudian muatan menyuntik dirinya ke dalam proses lain, dengan beberapa contoh proses yang disasarkan ialah dllhost.exe dan rundll32.exe. Pemuat menyahsulit konfigurasinya dan menghubungi C&C untuk memuat turun muatan peringkat seterusnya - RAT badan Aria, yang kemudiannya dinyahsulit dan dimuatkan.

Laluan Proses Badan Aria Naikon

Pandangan Lebih dekat pada Aria-body

Serangan baru-baru ini yang dilakukan oleh Naikon sekali lagi menggunakan RAT tersuai badan Aria, yang mungkin dibangunkan oleh APT untuk tujuannya. Nama fail muatan ialah apa yang penyelidik gunakan untuk namanya - aria-body-dllx86.dll. RAT tersuai mempunyai fungsi yang terdapat dalam kebanyakan RAT lain:

• manipulasi fail dan direktori
• mengambil tangkapan skrin
• mencari fail
• melancarkan fail menggunakan fungsi ShellExecute
• menutup sesi TCP
• menyemak lokasi sistem mangsa, menggunakan perkhidmatan 'checkip' Amazon

Penyelidik telah melihat beberapa contoh Aria-body yang mempunyai beberapa fungsi berikut juga:

• mengumpul data USB
• pencatat ketukan kekunci
• proksi stokin terbalik

Tugas pertama Aria-body adalah untuk mengikis sebanyak mungkin maklumat tentang sistem mangsa. Butiran yang dikumpul termasuk nama hos, nama pengguna, versi OS, kekerapan CPU, kunci MachineGUID dan alamat IP awam. Potongan data yang dikumpul dizip dengan kata laluan yang dijana secara rawak yang kemudian disulitkan.

RAT boleh berkomunikasi dengan pelayan C&Cnya menggunakan sama ada HTTP atau TCP. Antara protokol yang digunakan ditentukan oleh bendera dalam konfigurasi pemuat. Data sistem yang dizip mangsa dipindahkan ke C&C bersama dengan kata laluan arkib yang disulitkan. Selepas pemindahan selesai, RAT mula mendengar C&Cnya untuk arahan masuk.