Naikon APT

Naikon APT (Advanced Persistent Threat) को नाम हो जुन चीनबाट उत्पन्न भएको मानिन्छ। Naikon ह्याकिङ समूह पहिलो पटक एक दशक अघि, 2010 मा देखा परेको थियो। Naikon APT ले 2015 मा हेडलाइन बनायो जब साइबर क्रुकहरू द्वारा प्रयोग गरिएको पूर्वाधार मालवेयर अनुसन्धानकर्ताहरूले खुलासा गरे। यस पर्दाफासको लागि धन्यबाद, नाइकोन ह्याकिंग समूहका सदस्यहरू मध्ये एक कानून प्रवर्तनद्वारा समातियो। यो गफ पछि, साइबरसुरक्षा विश्लेषकहरूले नाइकन एपीटी व्यवसायबाट बाहिर गएको अनुमान गरे। यद्यपि, Naikon ह्याकिङ समूहले भर्खरै एरिया-बॉडी ब्याकडोर ट्रोजनको साथ पुन: उत्पन्न भएको छ - नयाँ खतरा जसमा धेरै सुविधाहरू छन्।

नियाकोनले पत्ता लगाउनबाट बच्नको लागि आक्रमण गर्ने प्रयास गर्यो

Naikon APT सरकारी अधिकारी र संस्थाहरूलाई लक्षित गर्ने ह्याकिङ समूह हो। नाइकोन ह्याकिङ समूहद्वारा गरिएका अधिकांश आक्रमणहरू फिलिपिन्स, भियतनाम, इन्डोनेसिया, म्यानमार, ब्रुनाई र अष्ट्रेलियामा केन्द्रित छन्। Naikon APT बाट साइबर बदमाशहरू द्वारा लक्षित अधिकांश सरकारी संस्थाहरू सामान्यतया विदेशी मामिला क्षेत्र वा विज्ञान र प्रविधि उद्योगमा सञ्चालन हुन्छन्। सरकारी स्वामित्वमा रहेका केही व्यवसाय र कम्पनीहरूलाई पनि नाइकोन एपीटीले निशाना बनाएको बताइएको छ।

Naikon APT को ह्याकिङ शस्त्रागारको अवलोकन गर्दै, मालवेयर अनुसन्धानकर्ताहरूले निष्कर्ष निकालेका छन् कि यी व्यक्तिहरूले लामो-समयको जासूसी र जासुसी कार्यहरू सञ्चालन गर्ने प्रवृत्ति राख्छन्। विदेशी सरकार र अधिकारीहरूलाई लक्षित गर्ने ह्याकिङ समूहहरूको लागि यो धेरै सामान्य हो। माथि उल्लिखित एरिया-बडी ह्याकिङ उपकरण समावेश गर्ने भर्खरको नाइकोन अपरेसनले अष्ट्रेलिया सरकारलाई लक्षित गर्यो। एरिया- बॉडी ब्याकडोर ट्रोजनको लक्ष्य डाटा सङ्कलन र लक्षित सरकार-सम्बन्धित प्रणालीहरूको नियन्त्रण लिन थियो। यो सम्भव छ कि Naikon APT का एक सदस्य 2015 मा फिर्ता पक्राऊ परेपछि, ह्याकिङ समूहले मालवेयर विश्लेषकहरू द्वारा पत्ता लगाउनबाट बच्नको लागि थप चुपचाप सञ्चालन गर्ने निर्णय गर्यो। यसले सम्भवतः विज्ञहरूलाई नाइकोन ह्याकिङ समूहले सेवानिवृत्त भइसकेको छ भन्ने विश्वासमा बहकाएको छ।

नाइकोन ह्याकिङ समूहले एरिया-बडी मालवेयरलाई स्पियर-फिसिङ इमेलहरू मार्फत प्रचार गर्छ। प्रश्नमा इमेलहरू विशेष रूपमा लक्ष्यमा शंका उत्पन्न गर्नबाट बच्नको लागि बनाइएको थियो। नक्कली इमेलहरूले भ्रष्ट संलग्नक समावेश गर्दछ जसको लक्ष्य Microsoft Office सेवामा भेट्टाउन सकिने जोखिमको शोषण गर्ने हो।

Naikon ले लक्षित आक्रमणहरूको लागि नयाँ लाइफलाइन पाउँछ

नाइकोन वर्षौंसम्म निष्क्रिय देखिन थालेको र कतिपयले यसको संरचनाको विस्तृत २०१५ प्रतिवेदनपछि एपीटी विघटन भएको अनुमान पनि लगाए पनि, यसले फेरि एकपटक आफ्नो टाउको पालेको छ।

चेक प्वाइन्टसँग काम गर्ने अन्वेषकहरूले पत्ता लगाए कि नाइकोनले पछिल्ला केही वर्षहरू लगातार एउटै क्षेत्र - एसिया प्यासिफिक क्षेत्रमा अवस्थित देशहरू र संस्थाहरूलाई लक्षित गर्दै बिताए। नाइकोनद्वारा आक्रमण गरिएका क्षेत्रहरूमा अष्ट्रेलिया, इन्डोनेसिया, भियतनाम, ब्रुनाई, थाइल्याण्ड र म्यानमार पर्छन्। ती आक्रमणहरूमा प्रयोग गरिएको मुख्य उपकरण नैकोनको एरिया-बडी ब्याकडोर र आरएटी उपकरण थियो।

हालैका आक्रमणहरूमा लक्षित संस्थाहरूमा सम्बन्धित देशको सरकारको स्वामित्वमा रहेका सरकारी मन्त्रालयहरू र निगमहरू समावेश छन्। एक जिज्ञासु अवलोकन यो हो कि एक पटक Naikon ले विदेशी संस्थामा आफ्नो स्थान हासिल गरेपछि, यसले यसलाई थप मालवेयर फैलाउन प्रयोग गर्दछ। यस्तो एउटा उदाहरण विदेशी दूतावास हो जुन यसको आयोजक देशको सरकारमा मालवेयर फैलाउन प्रयोग गरिएको थियो। यो दृष्टिकोणले दूतावास भित्र ज्ञात र विश्वसनीय सम्पर्कहरू प्रयोग गर्दछ, जसले घुसपैठलाई सजिलो बनाउँछ।

भर्खरैको आक्रमणमा, एरिया-बडी पेलोड रिच टेक्स्ट ढाँचा फाइल "The Indian Way.doc" मार्फत पठाइएको थियो। फाइललाई RoyalRoad उपकरण प्रयोग गरेर केहि शोषणहरू प्रयोग गर्न हतियार बनाइएको थियो। रिच टेक्स्ट ढाँचा फाइल खोलिसकेपछि, यसले "Intel.wll" नामको फाइल छोड्छ, जसले लोडरको रूपमा काम गर्दछ जसले टाढाको डोमेनबाट दोस्रो-चरण पेलोड डाउनलोड गर्ने प्रयास गर्दछ।

विज्ञहरू विश्वास गर्छन् कि नाइकोनको आक्रमणको उद्देश्य गुप्तचर सङ्कलन र सरकारहरूमाथि जासुसी गर्नु हो। Naikon APT पछिका खराब कलाकारहरूले संक्रमित प्रणालीहरूमा फाइलहरू पहुँच गर्न सक्छन् र किस्ट्रोकहरू लग गर्न र स्क्रिनसटहरू लिन सक्छन्। एपीटीले यति लामो समयसम्म आफ्ना हालका गतिविधिहरू पत्ता लगाउन बेवास्ता गर्नुको एउटा कारण यो थियो कि नाइकोनले सरकारी सर्भरहरू प्रयोग गर्यो जुन पहिले नै यसको कमाण्ड र नियन्त्रण बिन्दुको रूपमा सम्झौता भइसकेको थियो।

नाइकोन एपीटीले पक्कै पनि आफ्नो पन्जा हालेको छैन। यद्यपि, साइबर अपराधीहरूले साइबर सुरक्षा अनुसन्धानकर्ताहरूको रडारमा रहन केही उपायहरू अपनाएका छन्।

Naikon APT लक्ष्यहरू

हालैका आक्रमणहरूलाई धेरै वर्ष अघिका आक्रमणहरूसँग तुलना गर्दा Naikon APT ले समान क्षेत्रहरूलाई लक्षित गर्न जारी राखेको देखाउँछ। उल्लेख गरिए अनुसार, पाँच वर्ष पहिले तिनीहरूको लक्ष्यमा एशिया-प्रशान्त क्षेत्रका सरकारहरू समावेश थिए, र तिनीहरूका हालैका आक्रमणहरूले पनि त्यस्तै गरेको देखिन्छ।

समूहको बारेमा ध्यान दिनुपर्ने एउटा चाखलाग्दो कुरा के हो भने उनीहरूले बिस्तारै विभिन्न सरकारहरूमा आफ्नो खुट्टा विस्तार गर्दै आएका छन्। समूहले अर्को सरकारलाई सङ्क्रमित गर्ने प्रयासमा एउटा उल्लङ्घन गरिएको सरकारबाट आक्रमणहरू सुरु गरेर यो गर्छ। त्यहाँ एउटा मामला थियो जहाँ एक विदेशी दूतावासले अनजानमा आफ्नो आयोजक देशको सरकारलाई संक्रमित कागजातहरू पठाएको थियो। यस घटनाले देखाउँछ कि ह्याकरहरूले नयाँ लक्ष्यहरू घुसाउन र उनीहरूको जासुसी नेटवर्कलाई थप विकास गर्न विश्वसनीय सम्पर्कहरूको शोषण कत्तिको प्रभावकारी रूपमा गरिरहेका छन्।

Naikon APT को क्षमता र लक्ष्यहरूलाई ध्यानमा राख्दै, यो स्पष्ट हुन्छ कि आक्रमणहरू पछाडिको उद्देश्य लक्षित सरकारहरूको जासुसी र तिनीहरूमाथि गुप्तचर सङ्कलन गर्नु हो। समूहले सरकारी विभागहरू भित्र आफ्ना लक्ष्यहरूबाट विशेष कागजातहरू सङ्कलन गरिरहेको छ, र हटाउन सकिने ड्राइभहरूबाट डाटा पनि हडपिरहेको छ, संक्रमित कम्प्युटरहरूको स्क्रिनसटहरू सङ्कलन गर्दै छ, र जासुसीको लागि चोरी डाटा प्रयोग गरिरहेको छ।

यदि त्यो सबै पर्याप्त नराम्रो थिएन भने, Naikon APT ले सरकारी नेटवर्कहरू मार्फत जाँदा पत्ता लगाउनबाट बच्न माहिर प्रमाणित गरेको छ। यो समूहले संक्रमित मन्त्रालय भित्रका सर्भरहरूमा सम्झौता गरेर र ती कम्प्युटरहरूलाई कमाण्ड र कन्ट्रोल सर्भरको रूपमा प्रयोग गरेर चोरी डाटा संकलन र पठाउने गर्दछ। यो संक्रमण विधि धन्यवाद तिनीहरूलाई ट्रेस गर्न लगभग असम्भव छ। यो एक तरिका थियो जुन तिनीहरूले पाँच वर्षसम्म पत्ता लगाउनबाट बच्न सक्षम थिए।

एरिया-शरीर संक्रमण श्रृंखला

अनुसन्धानले देखाउँछ कि समूहसँग Aria-Body सँग कम्प्युटरहरू संक्रमित गर्ने विभिन्न तरिकाहरू छन्। अनुसन्धानकर्ताहरूले यस क्षेत्रको सरकारी दूतावासले अष्ट्रेलियाको राज्य सरकारलाई पठाएको खराब इमेल भेट्टाएपछि समूहको अनुसन्धान सुरु भयो। संक्रमित कागजातलाई "द इन्डियन्स वे" भनिन्छ र त्यो आरटीएफ फाइल थियो। फाइललाई RoyalRoad exploit बिल्डरसँग हतियार बनाइएको थियो, जसले intel.wll लोडरलाई कम्प्युटरको Word फोल्डरमा ड्रप गर्छ। लोडरले spool.jtjewifyn[.]com बाट संक्रमणको अर्को चरण डाउनलोड गर्न र यसलाई कार्यान्वयन गर्ने प्रयास गर्दछ।

ह्याकरहरूले अन्तिम डेलिभरी गर्न रोयलरोड मालवेयर प्रयोग गरेको यो पहिलो पटक होइन। अन्य ATP समूहहरू, जस्तै Vicious Panda ले पनि RoyalRoad डेलिभरी विधि प्रयोग गर्दछ। नाइकोनले अभिलेख फाइलहरू प्रयोग गरेको पनि देखियो जसमा मालिसियस DLL फाइलहरूले भरिएका वैध फाइलहरू छन्। यो विधिले लक्ष्यमा साइबर आक्रमण गर्न आउटलुक र अन्य वैध कार्यान्वयनयोग्य फाइलहरूको फाइदा लिन्छ। Naikon APT सादा दृश्यमा लुकाउन धेरै माहिर भएको देखिन्छ।

Naikon को पहिलो चरण लोडर

Aria-body RAT तैनात गर्नु अघि, पहिलो-चरण लोडरले संक्रमित प्रणालीमा धेरै कार्यहरू गर्दछ। लोडर पीडितको मेसिनमा निरन्तरता सुनिश्चित गर्न जिम्मेवार छ, प्रायः स्टार्टअप फोल्डर प्रयोग गरेर। त्यसपछि पेलोडले आफैंलाई अर्को प्रक्रियामा इन्जेक्ट गर्छ, लक्षित प्रक्रियाहरूको केही उदाहरणहरू dllhost.exe र rundll32.exe भएको। लोडरले यसको कन्फिगरेसन डिक्रिप्ट गर्छ र अर्को चरणको पेलोड डाउनलोड गर्न C&C लाई सम्पर्क गर्छ - Aria-body RAT, जुन त्यसपछि डिक्रिप्ट र लोड हुन्छ।

Naikon को Aria-शरीर प्रक्रिया पथ

एरिया-बॉडीमा नजिकको नजर

Naikon द्वारा गरिएका भर्खरैका आक्रमणहरूले फेरि एरिया-बॉडी कस्टम RAT प्रयोग गर्‍यो, सम्भवतः यसको उद्देश्यका लागि APT द्वारा विकसित गरिएको थियो। पेलोडको फाइल नाम भनेको अनुसन्धानकर्ताहरूले यसको नामको लागि प्रयोग गरेको हो - aria-body-dllx86.dll। अनुकूलन RAT सँग धेरै अन्य RAT मा पाइने कार्यक्षमता छ:

• फाइल र निर्देशिका को हेरफेर
• स्क्रिनसटहरू लिँदै
• फाइलहरू खोज्दै
• ShellExecute प्रकार्य प्रयोग गरेर फाइलहरू सुरू गर्दै
• TCP सत्र बन्द गर्दै
• अमेजनको 'चेकप' सेवा प्रयोग गरेर पीडित प्रणालीको स्थान जाँच गर्दै

अन्वेषकहरूले एरिया-बॉडीका विभिन्न उदाहरणहरू फेला पारेका छन् जसमा निम्न कार्यक्षमताहरू पनि थिए:

• USB डाटा सङ्कलन
• कीस्ट्रोक लगर
• रिभर्स मोजा प्रोक्सी

एरिया-बॉडीको पहिलो कार्य भनेको पीडित प्रणालीको बारेमा सकेसम्म धेरै जानकारी स्क्र्याप गर्नु हो। संकलित विवरणहरूले होस्ट नाम, प्रयोगकर्ता नाम, OS संस्करण, CPU फ्रिक्वेन्सी, MachineGUID कुञ्जी र सार्वजनिक IP ठेगाना समावेश गर्दछ। डेटाको सङ्कलन गरिएको टुक्रा अनियमित रूपमा उत्पन्न गरिएको पासवर्डको साथ जिप गरिएको छ जुन त्यसपछि इन्क्रिप्ट हुन्छ।

RAT ले आफ्नो C&C सर्भरहरूसँग HTTP वा TCP प्रयोग गरेर सञ्चार गर्न सक्छ। कुन प्रोटोकलहरू प्रयोग गरिन्छ लोडरको कन्फिगरेसनमा झण्डाद्वारा निर्धारण गरिन्छ। पीडित जिप गरिएको प्रणाली डेटा एन्क्रिप्टेड अभिलेख पासवर्डको साथ C&C मा स्थानान्तरण गरिन्छ। स्थानान्तरण पूरा भएपछि, RAT ले आगमन आदेशहरूको लागि यसको C&C सुन्न थाल्छ।