Naikon APT

Naikon is de naam van een APT (Advanced Persistent Threat) waarvan wordt aangenomen dat deze afkomstig is uit China. De Naikon-hackgroep werd meer dan tien jaar geleden voor het eerst opgemerkt, in 2010. De Naikon APT haalde de krantenkoppen in 2015 toen de infrastructuur die door de cybercriminelen werd gebruikt, werd ontdekt door malwareonderzoekers. Dankzij deze onthulling werd een van de leden van de Naikon-hackgroep betrapt door de politie. Na deze blunder gingen cybersecurity-analisten ervan uit dat de Naikon APT failliet was gegaan. De Naikon-hackgroep is echter onlangs opnieuw opgedoken met de Aria-body backdoor Trojan - een nieuwe dreiging met een groot aantal functies.

Niakon-aanvallen proberen detectie te ontwijken

De Naikon APT is een hackgroep die zich meestal richt op overheidsfunctionarissen en -instellingen. De meeste aanvallen van de hackgroep Naikon zijn geconcentreerd in de Filippijnen, Vietnam, Indonesië, Myanmar, Brunei en Australië. De meeste overheidsinstellingen die het doelwit zijn van de cybercriminelen van de Naikon APT, zijn meestal actief in de sector buitenlandse zaken of de wetenschaps- en technologie-industrie. Sommige bedrijven en bedrijven, die eigendom zijn van de overheid, zijn naar verluidt ook het doelwit geweest van de Naikon APT.

Door het hackarsenaal van de Naikon APT te observeren, hebben malwareonderzoekers geconcludeerd dat deze personen de neiging hebben om langdurige verkennings- en spionageoperaties uit te voeren. Dit is heel typerend voor hackgroepen die zich richten op buitenlandse regeringen en functionarissen. De recente Naikon-operatie waarbij de eerder genoemde Aria-body-hacktool betrokken was, was gericht op de Australische regering. Het doel van de Aria-body backdoor Trojan was om gegevens te verzamelen en de controle over te nemen over de aan de overheid gekoppelde systemen. Het is waarschijnlijk dat nadat een van de leden van de Naikon APT in 2015 werd betrapt, de hackgroep besloot stiller te gaan werken om detectie door malware-analisten te voorkomen. Dit heeft de experts waarschijnlijk misleid door te geloven dat de Naikon-hackgroep met pensioen is gegaan.

De hackgroep Naikon verspreidt de Aria-body-malware via spear-phishing-e-mails. De e-mails in kwestie zijn gemaakt om specifiek bij het doelwit geen argwaan te wekken. De valse e-mails zouden een beschadigde bijlage bevatten waarvan het doel is om misbruik te maken van een kwetsbaarheid die kan worden gevonden in de Microsoft Office-service.

Naikon krijgt een nieuwe reddingslijn voor gerichte aanvallen

Hoewel Naikon jarenlang schijnbaar slapend bleef en sommigen zelfs speculeerden dat de APT is ontbonden na een gedetailleerd rapport uit 2015 over zijn structuur, heeft het nu opnieuw de kop opgestoken.

Onderzoekers die met Check Point werkten, ontdekten dat Naikon zich de afgelopen jaren voortdurend richtte op dezelfde regio: landen en organisaties in de regio Azië-Pacific. Gebieden die door Naikon zijn aangevallen, zijn onder meer Australië, Indonesië, Vietnam, Brunei, Thailand en Myanmar. Het belangrijkste instrument dat bij die aanvallen werd gebruikt, was Naikon's Aria-body backdoor en RAT-tool.

De organisaties die het doelwit waren van recentere aanvallen zijn onder meer ministeries en bedrijven die eigendom zijn van de regering van het betreffende land. Een merkwaardige observatie is dat zodra Naikon voet aan de grond krijgt in een buitenlandse entiteit, het deze vervolgens gebruikt om malware verder te verspreiden. Een voorbeeld hiervan is een buitenlandse ambassade die werd gebruikt om malware te verspreiden naar de regering van het gastland. Deze aanpak maakt gebruik van bekende en vertrouwde contacten binnen de ambassade, wat infiltratie makkelijker maakt.

Bij een recente aanval werd de lading van het Aria-lichaam afgeleverd via een Rich Text Format-bestand met de naam "The Indian Way.doc". Het bestand was bewapend om bepaalde exploits te gebruiken met behulp van de RoyalRoad- tool. Zodra het Rich Text Format-bestand is geopend, dropt het een bestand met de naam "Intel.wll", dat fungeert als een lader die probeert de payload van de tweede fase van een extern domein te downloaden.

Experts geloven dat het doel van de aanvallen van Naikon het verzamelen van inlichtingen en het bespioneren van regeringen is. De slechteriken achter de Naikon APT hebben toegang tot bestanden op geïnfecteerde systemen en kunnen zelfs toetsaanslagen registreren en screenshots maken. Een deel van de reden waarom de APT zo lang de detectie van zijn recentere activiteiten ontweek, was dat Naikon overheidsservers gebruikte die al waren gecompromitteerd als commando- en controlepunten.

De Naikon APT heeft hun handschoenen nog niet opgehangen, zeker niet. De cybercriminelen hebben echter enkele maatregelen genomen om onder de radar van cybersecurity-onderzoekers te blijven.

Naikon APT-doelen

Als we de recente aanvallen vergelijken met die van enkele jaren geleden, blijkt dat Naikon APT zich blijft richten op dezelfde regio's. Zoals vermeld, waren hun doelen vijf jaar geleden regeringen in de regio Azië-Pacific, en hun recente aanvallen lijken hetzelfde te doen.

Een interessant ding om op te merken over de groep is dat ze langzaamaan hun positie in verschillende regeringen hebben uitgebreid. De groep doet dit door aanvallen uit te voeren van een geschonden regering in een poging een andere regering te besmetten. Er was één geval waarbij een buitenlandse ambassade onbewust besmette documenten naar de regering van het gastland stuurde. Dit incident laat zien hoe effectief de hackers gebruik maken van vertrouwde contacten om nieuwe doelen te infiltreren en hun spionagenetwerk verder te ontwikkelen.

Gezien de capaciteiten en doelen van Naikon APT, wordt het duidelijk dat het doel achter de aanvallen is om de doelregeringen te bespioneren en informatie over hen te verzamelen. De groep verzamelt specifieke documenten van hun doelen binnen overheidsdepartementen, en haalt ook gegevens van verwisselbare schijven, verzamelt screenshots van geïnfecteerde computers en gebruikt de gestolen gegevens voor spionage.

Alsof dat nog niet erg genoeg was, heeft Naikon APT bewezen bedreven te zijn in het ontwijken van detectie bij het passeren van overheidsnetwerken. De groep doet dit door servers binnen een geïnfecteerd ministerie te compromitteren en die computers te gebruiken als commando- en controleserver om de gestolen gegevens te verzamelen en te verzenden. Dankzij deze infectiemethode is het bijna onmogelijk om ze te traceren. Dit was een van de manieren waarop ze vijf jaar lang konden voorkomen dat ze ontdekt werden.

De Aria-Body Infectieketen

Onderzoek toont aan dat de groep verschillende manieren heeft om computers te infecteren met Aria-Body. Het onderzoek naar de groep begon toen onderzoekers een kwaadaardige e-mail zagen die door een overheidsambassade in de regio naar de Australische deelstaatregering was gestuurd. Het geïnfecteerde document heette "The Indians Way" en was een RTF-bestand. Het bestand werd bewapend met de RoyalRoad exploit builder, die de intel.wll-lader in de Word-map op de computer plaatst. De loader probeert de volgende infectiefase van spool.jtjewifyn[.]com te downloaden en uit te voeren.

Dit zou niet de eerste keer zijn dat hackers de RoyalRoad-malware gebruiken om de uiteindelijke levering te maken. Andere ATP-groepen, zoals Vicious Panda, gebruiken ook de RoyalRoad-bezorgmethode. Naikon is ook gezien met het gebruik van archiefbestanden die legitieme bestanden bevatten die zijn geladen met schadelijke DLL-bestanden. Deze methode maakt gebruik van Outlook en andere legitieme uitvoerbare bestanden om een cyberaanval uit te voeren op een doelwit. Naikon APT lijkt erg bedreven te zijn in het verbergen in het volle zicht.

Naikon's eerstetrapslader

Voordat de Aria-body RAT wordt ingezet, voert de first-stage loader een aantal taken uit op het geïnfecteerde systeem. De lader is verantwoordelijk voor het zorgen voor persistentie op de computer van het slachtoffer, vaak met behulp van de map Opstarten. Vervolgens injecteert de payload zichzelf in een ander proces, waarbij enkele voorbeelden van gerichte processen dllhost.exe en rundll32.exe zijn. De lader decodeert zijn configuratie en neemt contact op met de C&C om de volgende fase-payload te downloaden - de Aria-body RAT, die vervolgens wordt gedecodeerd en geladen.

Naikon's Aria-lichaamsprocespad

Een nadere blik op Aria-body

De recente aanvallen uitgevoerd door Naikon maakten opnieuw gebruik van de Aria-body custom RAT, waarschijnlijk ontwikkeld door de APT voor zijn doeleinden. De bestandsnaam van de payload is wat onderzoekers gebruikten voor de naam - aria-body-dllx86.dll. De aangepaste RAT heeft de functionaliteit van de meeste andere RAT's:

• manipulatie van bestanden en mappen
• screenshots maken
• bestanden zoeken
• bestanden starten met de ShellExecute-functie
• een TCP-sessie sluiten
• de locatie van een slachtoffersysteem controleren met behulp van de 'checkip'-service van Amazon

Onderzoekers hebben verschillende exemplaren van Aria-body gezien die ook enkele van de volgende functies hadden:

• USB-gegevens verzamelen
• toetsaanslag logger
• omgekeerde sokken proxy

De eerste taak van Aria-body is om zoveel mogelijk informatie over het slachtoffersysteem te verzamelen. De verzamelde details omvatten hostnaam, gebruikersnaam, OS-versie, CPU-frequentie, MachineGUID-sleutel en openbaar IP-adres. Het verzamelde stuk gegevens wordt gecomprimeerd met een willekeurig gegenereerd wachtwoord dat vervolgens wordt gecodeerd.

De RAT kan communiceren met zijn C&C-servers via HTTP of TCP. Welk van de protocollen wordt gebruikt, wordt bepaald door een vlag in de configuratie van de lader. De gezipte systeemgegevens van het slachtoffer worden samen met het gecodeerde archiefwachtwoord naar de C&C overgebracht. Nadat de overdracht is voltooid, begint de RAT te luisteren naar zijn C&C voor inkomende opdrachten.