Naikon APT

Naikon er navnet på en APT (Advanced Persistent Threat) som antas å stamme fra Kina. Naikon-hackinggruppen ble først oppdaget for over et tiår siden, tilbake i 2010. Naikon APT skapte overskrifter i 2015 da infrastrukturen som ble brukt av cyberskurkene ble avdekket av skadevareforskere. Takket være denne avsløringen ble et av medlemmene i Naikon-hackinggruppen fanget av politiet. Etter denne galningen antok cybersikkerhetsanalytikere at Naikon APT hadde gått ut av drift. Imidlertid har Naikon hacking gruppe gjenoppstod med Aria-body backdoor Trojan nylig - en ny trussel som har en rekke funksjoner.

Niakon angriper forsøk på å unngå oppdagelse

Naikon APT er en hackergruppe som har en tendens til å sikte mot offentlige tjenestemenn og institusjoner. De fleste angrepene utført av hackergruppen Naikon er konsentrert til Filippinene, Vietnam, Indonesia, Myanmar, Brunei og Australia. De fleste av de statlige institusjonene som er målrettet av cyberskurkene fra Naikon APT, opererer vanligvis i utenrikssektoren eller vitenskaps- og teknologiindustrien. Noen virksomheter og selskaper, som er statseide, er angivelig også blitt målrettet av Naikon APT.

Etter å ha observert hacking-arsenalet til Naikon APT, har skadevareforskere konkludert med at disse personene har en tendens til å utføre langsiktige rekognoserings- og spionasjeoperasjoner. Dette er veldig typisk for hackergrupper som retter seg mot utenlandske myndigheter og tjenestemenn. Den nylige Naikon-operasjonen som involverte det nevnte Aria-body hacking-verktøyet var rettet mot den australske regjeringen. Målet med Aria-body- bakdør-trojaneren var å samle inn data og ta kontroll over de målrettede regjeringstilknyttede systemene. Det er sannsynlig at etter at et av medlemmene av Naikon APT ble fanget tilbake i 2015, bestemte hackergruppen seg for å begynne å operere mer stille for å unngå oppdagelse av malware-analytikere. Dette villedet sannsynligvis ekspertene til å tro at Naikon-hackinggruppen har trukket seg tilbake.

Naikon-hacking-gruppen forplanter Aria-body malware via spyd-phishing-e-poster. De aktuelle e-postene ble laget for å unngå å vekke mistanke spesifikt i målet. De falske e-postene vil inneholde et ødelagt vedlegg hvis mål er å utnytte en sårbarhet som finnes i Microsoft Office-tjenesten.

Naikon får en ny livline for målrettede angrep

Selv om Naikon forble tilsynelatende sovende i årevis og noen til og med spekulerte i at APT har blitt oppløst etter en detaljert rapport fra 2015 om strukturen, har den nå igjen hevet hodet.

Forskere som jobbet med Check Point oppdaget at Naikon brukte de siste årene kontinuerlig på å målrette mot den samme regionen – land og organisasjoner i Asia-Stillehavsregionen. Territorier angrepet av Naikon inkluderer Australia, Indonesia, Vietnam, Brunei, Thailand og Myanmar. Hovedverktøyet som ble brukt i disse angrepene var Naikons Aria-body-bakdør og RAT-verktøy.

Organisasjonene som er målrettet i nyere angrep inkluderer regjeringsdepartementer og selskaper som eies av det respektive landets regjering. En merkelig observasjon er at når Naikon får fotfeste i en utenlandsk enhet, bruker den den til å spre skadelig programvare ytterligere. Et slikt eksempel er en utenlandsk ambassade som ble brukt til å spre skadevare til myndighetene i vertslandet. Denne tilnærmingen bruker kjente og pålitelige kontakter innen ambassaden, noe som gjør infiltrasjon enklere.

I et nylig angrep ble Aria-body-nyttelasten levert gjennom en Rich Text Format-fil kalt "The Indian Way.doc". Filen ble bevæpnet til å bruke visse utnyttelser ved å bruke RoyalRoad- verktøyet. Når Rich Text Format-filen er åpnet, slipper den en fil som heter "Intel.wll", som fungerer som en laster som prøver å laste ned andre-trinns nyttelast fra et eksternt domene.

Eksperter mener at formålet med Naikons angrep er å samle etterretning og spionere på regjeringer. De dårlige skuespillerne bak Naikon APT kan få tilgang til filer på infiserte systemer og til og med logge tastetrykk og ta skjermbilder. Noe av grunnen til at APT unngikk oppdagelse av sine nyere aktiviteter så lenge, var at Naikon brukte offentlige servere som allerede var kompromittert som sine kommando- og kontrollpunkter.

Naikon APT har ikke hengt opp hanskene ennå, absolutt. Imidlertid har cyberskurkene tatt noen tiltak for å holde seg under radaren til cybersikkerhetsforskere.

Naikon APT-mål

Sammenligning av de siste angrepene med angrepene fra flere år siden viser at Naikon APT fortsetter å målrette de samme regionene. Som nevnt inkluderte deres mål for fem år siden regjeringer over hele Asia-Stillehavsregionen, og deres nylige angrep ser ut til å gjøre det samme.

En interessant ting å merke seg om gruppen er at de sakte har utvidet sitt fotfeste i forskjellige regjeringer. Gruppen gjør dette ved å sette i gang angrep fra en overtrådt regjering i et forsøk på å infisere en annen regjering. Det var ett tilfelle der en utenlandsk ambassade ubevisst sendte infiserte dokumenter til regjeringen i vertslandet. Denne hendelsen viser hvor effektivt hackerne utnytter pålitelige kontakter for å infiltrere nye mål og videreutvikle spionasjenettverket deres.

Gitt evnene og målene til Naikon APT, blir det klart at formålet bak angrepene er å spionere på målregjeringene og samle etterretning om dem. Gruppen samler inn spesifikke dokumenter fra målene sine i offentlige avdelinger, og henter også data fra flyttbare stasjoner, samler inn skjermbilder av infiserte datamaskiner og bruker de stjålne dataene til spionasje.

Hvis alt dette ikke var ille nok, har Naikon APT vist seg dyktig til å unngå deteksjon når de passerer gjennom offentlige nettverk. Gruppen gjør dette ved å kompromittere servere i et infisert departement og bruke disse datamaskinene som en kommando- og kontrollserver for å samle inn og sende de stjålne dataene. Det er nesten umulig å spore dem takket være denne infeksjonsmetoden. Dette var en av måtene de var i stand til å unngå oppdagelse på i fem år.

Aria-kroppsinfeksjonskjeden

Forskning viser at gruppen har flere forskjellige måter å infisere datamaskiner med Aria-Body. Etterforskningen av gruppen startet da forskere oppdaget en ondsinnet e-post sendt til den australske delstatsmyndigheten av en regjeringsambassade i regionen. Det infiserte dokumentet ble kalt "The Indians Way" og var en RTF-fil. Filen ble bevæpnet med RoyalRoad exploit builder, som slipper intel.wll-lasteren inn i Word-mappen på datamaskinen. Lasteren prøver å laste ned neste infeksjonsstadium fra spool.jtjewifyn[.]com og kjøre den.

Dette ville ikke være første gang hackere har brukt RoyalRoad malware for å gjøre den endelige leveringen. Andre ATP-grupper, som Vicious Panda, bruker også RoyalRoad-leveringsmetoden. Naikon har også blitt sett å bruke arkivfiler som inneholder legitime filer lastet med ondsinnede DLL-filer. Denne metoden utnytter Outlook og andre legitime kjørbare filer for å utføre et nettangrep på et mål. Naikon APT ser ut til å ha blitt veldig flinke til å gjemme seg i synlige øyne.

Naikons førstetrinnslaster

Før Aria-body RAT blir distribuert, utfører førstetrinnslasteren en rekke oppgaver på det infiserte systemet. Lasteren er ansvarlig for å sikre utholdenhet på offerets maskin, ofte ved å bruke Startup-mappen. Deretter injiserer nyttelasten seg selv i en annen prosess, med noen eksempler på målrettede prosesser som dllhost.exe og rundll32.exe. Lasteren dekrypterer konfigurasjonen og kontakter C&C for å laste ned neste trinns nyttelast - Aria-body RAT, som deretter dekrypteres og lastes.

Naikons Aria-kroppsprosessbane

En nærmere titt på Aria-kroppen

De nylige angrepene utført av Naikon brukte nok en gang Aria-body custom RAT, sannsynligvis utviklet av APT for sine formål. Filnavnet til nyttelasten er det forskerne brukte for navnet - aria-body-dllx86.dll. Den tilpassede RAT har funksjonaliteten som finnes i de fleste andre RAT-er:

• manipulering av filer og kataloger
• tar skjermbilder
• søker etter filer
• starte filer ved hjelp av ShellExecute-funksjonen
• lukke en TCP-økt
• sjekke plasseringen til et offersystem ved å bruke Amazons "checkip"-tjeneste

Forskere har oppdaget forskjellige forekomster av Aria-kropp som også hadde noen av følgende funksjoner:

• samle USB-data
• tastetrykklogger
• reverse socks proxy

Aria-bodys første oppgave er å skrape så mye informasjon om offersystemet som mulig. Detaljer som samles inn inkluderer vertsnavn, brukernavn, OS-versjon, CPU-frekvens, MachineGUID-nøkkel og offentlig IP-adresse. Den innsamlede databiten zippes med et tilfeldig generert passord som deretter krypteres.

RAT kan kommunisere med sine C&C-servere ved å bruke enten HTTP eller TCP. Hvilken av protokollene som brukes bestemmes av et flagg i loaderens konfigurasjon. Offerets zippede systemdata overføres til C&C sammen med det krypterte arkivpassordet. Etter at overføringen er fullført, begynner RAT å lytte til C&C for innkommende kommandoer.