ਨਾਇਕੋਨ ਏ.ਪੀ.ਟੀ
ਨਾਇਕੋਨ ਇੱਕ ਏਪੀਟੀ (ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੀਟ) ਦਾ ਨਾਮ ਹੈ ਜੋ ਚੀਨ ਤੋਂ ਪੈਦਾ ਹੋਇਆ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ। ਨਾਇਕੋਨ ਹੈਕਿੰਗ ਗਰੁੱਪ ਨੂੰ ਪਹਿਲੀ ਵਾਰ ਇੱਕ ਦਹਾਕਾ ਪਹਿਲਾਂ, 2010 ਵਿੱਚ ਦੇਖਿਆ ਗਿਆ ਸੀ। ਨਾਇਕੋਨ ਏਪੀਟੀ ਨੇ 2015 ਵਿੱਚ ਸੁਰਖੀਆਂ ਬਣਾਈਆਂ ਸਨ ਜਦੋਂ ਸਾਈਬਰ ਕਰੂਕਸ ਦੁਆਰਾ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦਾ ਮਾਲਵੇਅਰ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਸ ਪਰਦਾਫਾਸ਼ ਲਈ ਧੰਨਵਾਦ, ਨਾਇਕੋਨ ਹੈਕਿੰਗ ਸਮੂਹ ਦੇ ਇੱਕ ਮੈਂਬਰ ਨੂੰ ਕਾਨੂੰਨ ਲਾਗੂ ਕਰਨ ਵਾਲੇ ਦੁਆਰਾ ਫੜਿਆ ਗਿਆ ਸੀ। ਇਸ ਗੜਬੜ ਤੋਂ ਬਾਅਦ, ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ ਮੰਨਿਆ ਕਿ ਨਾਇਕੋਨ ਏਪੀਟੀ ਕਾਰੋਬਾਰ ਤੋਂ ਬਾਹਰ ਹੋ ਗਈ ਹੈ। ਹਾਲਾਂਕਿ, ਨਾਇਕੋਨ ਹੈਕਿੰਗ ਗਰੁੱਪ ਹਾਲ ਹੀ ਵਿੱਚ ਏਰੀਆ-ਬਾਡੀ ਬੈਕਡੋਰ ਟਰੋਜਨ ਨਾਲ ਮੁੜ ਉਭਰਿਆ ਹੈ - ਇੱਕ ਨਵਾਂ ਖ਼ਤਰਾ ਜਿਸ ਵਿੱਚ ਬਹੁਤ ਸਾਰੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਹਨ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਨਿਆਕੋਨ ਹਮਲੇ ਦਾ ਪਤਾ ਲਗਾਉਣ ਤੋਂ ਬਚਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ
ਨਾਇਕੋਨ ਏਪੀਟੀ ਇੱਕ ਹੈਕਿੰਗ ਸਮੂਹ ਹੈ ਜੋ ਸਰਕਾਰੀ ਅਧਿਕਾਰੀਆਂ ਅਤੇ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ। ਨਾਇਕੋਨ ਹੈਕਿੰਗ ਸਮੂਹ ਦੁਆਰਾ ਕੀਤੇ ਗਏ ਜ਼ਿਆਦਾਤਰ ਹਮਲੇ ਫਿਲੀਪੀਨਜ਼, ਵੀਅਤਨਾਮ, ਇੰਡੋਨੇਸ਼ੀਆ, ਮਿਆਂਮਾਰ, ਬਰੂਨੇਈ ਅਤੇ ਆਸਟਰੇਲੀਆ ਵਿੱਚ ਕੇਂਦਰਿਤ ਹਨ। ਨਾਇਕੋਨ ਏਪੀਟੀ ਦੇ ਸਾਈਬਰ ਬਦਮਾਸ਼ਾਂ ਦੁਆਰਾ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਗਏ ਜ਼ਿਆਦਾਤਰ ਸਰਕਾਰੀ ਅਦਾਰੇ ਆਮ ਤੌਰ 'ਤੇ ਵਿਦੇਸ਼ੀ ਮਾਮਲਿਆਂ ਦੇ ਖੇਤਰ ਜਾਂ ਵਿਗਿਆਨ ਅਤੇ ਤਕਨਾਲੋਜੀ ਉਦਯੋਗ ਵਿੱਚ ਕੰਮ ਕਰਦੇ ਹਨ। ਕੁਝ ਕਾਰੋਬਾਰਾਂ ਅਤੇ ਕੰਪਨੀਆਂ, ਜੋ ਕਿ ਸਰਕਾਰੀ ਮਾਲਕੀ ਵਾਲੀਆਂ ਹਨ, ਨੂੰ ਕਥਿਤ ਤੌਰ 'ਤੇ ਨਾਇਕੋਨ ਏਪੀਟੀ ਦੁਆਰਾ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਗਿਆ ਹੈ।
ਨਾਇਕੋਨ ਏਪੀਟੀ ਦੇ ਹੈਕਿੰਗ ਹਥਿਆਰਾਂ ਦਾ ਨਿਰੀਖਣ ਕਰਦੇ ਹੋਏ, ਮਾਲਵੇਅਰ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਸਿੱਟਾ ਕੱਢਿਆ ਹੈ ਕਿ ਇਹ ਵਿਅਕਤੀ ਲੰਬੇ ਸਮੇਂ ਲਈ ਜਾਸੂਸੀ ਅਤੇ ਜਾਸੂਸੀ ਕਾਰਵਾਈਆਂ ਨੂੰ ਅੰਜਾਮ ਦਿੰਦੇ ਹਨ। ਇਹ ਹੈਕਿੰਗ ਸਮੂਹਾਂ ਲਈ ਬਹੁਤ ਆਮ ਹੈ ਜੋ ਵਿਦੇਸ਼ੀ ਸਰਕਾਰਾਂ ਅਤੇ ਅਧਿਕਾਰੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹਨ। ਹਾਲ ਹੀ ਦੇ ਨਾਇਕੋਨ ਓਪਰੇਸ਼ਨ ਜਿਸ ਵਿੱਚ ਉਪਰੋਕਤ ਅਰੀਆ-ਬਾਡੀ ਹੈਕਿੰਗ ਟੂਲ ਸ਼ਾਮਲ ਸੀ, ਨੇ ਆਸਟਰੇਲੀਆਈ ਸਰਕਾਰ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ। ਏਰੀਆ-ਬਾਡੀ ਬੈਕਡੋਰ ਟਰੋਜਨ ਦਾ ਟੀਚਾ ਡਾਟਾ ਇਕੱਠਾ ਕਰਨਾ ਅਤੇ ਨਿਸ਼ਾਨਾ ਸਰਕਾਰ ਨਾਲ ਜੁੜੇ ਸਿਸਟਮਾਂ ਦਾ ਨਿਯੰਤਰਣ ਲੈਣਾ ਸੀ। ਇਹ ਸੰਭਾਵਨਾ ਹੈ ਕਿ 2015 ਵਿੱਚ Naikon APT ਦੇ ਮੈਂਬਰਾਂ ਵਿੱਚੋਂ ਇੱਕ ਦੇ ਫੜੇ ਜਾਣ ਤੋਂ ਬਾਅਦ, ਹੈਕਿੰਗ ਸਮੂਹ ਨੇ ਮਾਲਵੇਅਰ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਦੁਆਰਾ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਵਧੇਰੇ ਚੁੱਪਚਾਪ ਕੰਮ ਕਰਨਾ ਸ਼ੁਰੂ ਕਰਨ ਦਾ ਫੈਸਲਾ ਕੀਤਾ। ਇਹ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਮਾਹਰਾਂ ਨੂੰ ਇਹ ਵਿਸ਼ਵਾਸ ਕਰਨ ਲਈ ਗੁੰਮਰਾਹ ਕਰਦਾ ਹੈ ਕਿ ਨਾਇਕੋਨ ਹੈਕਿੰਗ ਸਮੂਹ ਸੇਵਾਮੁਕਤ ਹੋ ਗਿਆ ਹੈ।
ਨਾਇਕੋਨ ਹੈਕਿੰਗ ਗਰੁੱਪ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਰਾਹੀਂ ਏਰੀਆ-ਬਾਡੀ ਮਾਲਵੇਅਰ ਦਾ ਪ੍ਰਚਾਰ ਕਰਦਾ ਹੈ। ਸਵਾਲ ਵਿੱਚ ਈਮੇਲਾਂ ਖਾਸ ਤੌਰ 'ਤੇ ਟੀਚੇ ਵਿੱਚ ਸ਼ੱਕ ਪੈਦਾ ਕਰਨ ਤੋਂ ਬਚਣ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਸਨ। ਜਾਅਲੀ ਈਮੇਲਾਂ ਵਿੱਚ ਇੱਕ ਖਰਾਬ ਅਟੈਚਮੈਂਟ ਹੋਵੇਗੀ ਜਿਸਦਾ ਟੀਚਾ ਇੱਕ ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ ਹੈ ਜੋ Microsoft Office ਸੇਵਾ ਵਿੱਚ ਲੱਭੀ ਜਾ ਸਕਦੀ ਹੈ।
ਨਾਇਕੋਨ ਨੂੰ ਨਿਸ਼ਾਨਾ ਹਮਲਿਆਂ ਲਈ ਇੱਕ ਨਵੀਂ ਲਾਈਫਲਾਈਨ ਮਿਲਦੀ ਹੈ
ਭਾਵੇਂ ਕਿ ਨਾਇਕੋਨ ਸਾਲਾਂ ਤੋਂ ਸੁਸਤ ਜਾਪਦਾ ਸੀ ਅਤੇ ਕੁਝ ਇਹ ਅੰਦਾਜ਼ਾ ਵੀ ਲਗਾ ਰਹੇ ਸਨ ਕਿ ਏਪੀਟੀ ਨੂੰ ਇਸਦੀ ਬਣਤਰ ਬਾਰੇ 2015 ਦੀ ਵਿਸਤ੍ਰਿਤ ਰਿਪੋਰਟ ਤੋਂ ਬਾਅਦ ਭੰਗ ਕਰ ਦਿੱਤਾ ਗਿਆ ਹੈ, ਇਸਨੇ ਹੁਣ ਇੱਕ ਵਾਰ ਫਿਰ ਆਪਣਾ ਸਿਰ ਉੱਚਾ ਕਰ ਲਿਆ ਹੈ।
ਚੈੱਕ ਪੁਆਇੰਟ ਦੇ ਨਾਲ ਕੰਮ ਕਰਨ ਵਾਲੇ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਖੋਜ ਕੀਤੀ ਕਿ ਨਾਇਕੋਨ ਨੇ ਪਿਛਲੇ ਕੁਝ ਸਾਲ ਲਗਾਤਾਰ ਉਸੇ ਖੇਤਰ - ਏਸ਼ੀਆ ਪੈਸੀਫਿਕ ਖੇਤਰ ਵਿੱਚ ਸਥਿਤ ਦੇਸ਼ਾਂ ਅਤੇ ਸੰਗਠਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਬਿਤਾਏ। ਨਾਇਕੋਨ ਦੁਆਰਾ ਹਮਲਾ ਕੀਤੇ ਗਏ ਖੇਤਰਾਂ ਵਿੱਚ ਆਸਟ੍ਰੇਲੀਆ, ਇੰਡੋਨੇਸ਼ੀਆ, ਵੀਅਤਨਾਮ, ਬਰੂਨੇਈ, ਥਾਈਲੈਂਡ ਅਤੇ ਮਿਆਂਮਾਰ ਸ਼ਾਮਲ ਹਨ। ਉਹਨਾਂ ਹਮਲਿਆਂ ਵਿੱਚ ਵਰਤਿਆ ਜਾਣ ਵਾਲਾ ਮੁੱਖ ਸੰਦ ਨਾਇਕੋਨ ਦਾ ਏਰੀਆ-ਬਾਡੀ ਬੈਕਡੋਰ ਅਤੇ ਆਰਏਟੀ ਟੂਲ ਸੀ।
ਹੋਰ ਤਾਜ਼ਾ ਹਮਲਿਆਂ ਵਿੱਚ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਗਏ ਸੰਗਠਨਾਂ ਵਿੱਚ ਸਬੰਧਤ ਦੇਸ਼ ਦੀ ਸਰਕਾਰ ਦੀ ਮਲਕੀਅਤ ਵਾਲੇ ਸਰਕਾਰੀ ਮੰਤਰਾਲਿਆਂ ਅਤੇ ਕਾਰਪੋਰੇਸ਼ਨਾਂ ਸ਼ਾਮਲ ਹਨ। ਇੱਕ ਉਤਸੁਕ ਨਿਰੀਖਣ ਇਹ ਹੈ ਕਿ ਇੱਕ ਵਾਰ ਜਦੋਂ ਨਾਇਕੋਨ ਇੱਕ ਵਿਦੇਸ਼ੀ ਸੰਸਥਾ ਵਿੱਚ ਪੈਰ ਪਕੜ ਲੈਂਦਾ ਹੈ, ਤਾਂ ਇਹ ਮਾਲਵੇਅਰ ਨੂੰ ਹੋਰ ਫੈਲਾਉਣ ਲਈ ਇਸਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਅਜਿਹੀ ਇੱਕ ਉਦਾਹਰਣ ਇੱਕ ਵਿਦੇਸ਼ੀ ਦੂਤਾਵਾਸ ਹੈ ਜਿਸਦੀ ਵਰਤੋਂ ਆਪਣੇ ਮੇਜ਼ਬਾਨ ਦੇਸ਼ ਦੀ ਸਰਕਾਰ ਨੂੰ ਮਾਲਵੇਅਰ ਫੈਲਾਉਣ ਲਈ ਕੀਤੀ ਗਈ ਸੀ। ਇਹ ਪਹੁੰਚ ਦੂਤਾਵਾਸ ਦੇ ਅੰਦਰ ਜਾਣੇ-ਪਛਾਣੇ ਅਤੇ ਭਰੋਸੇਮੰਦ ਸੰਪਰਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ, ਜੋ ਘੁਸਪੈਠ ਨੂੰ ਆਸਾਨ ਬਣਾਉਂਦੀ ਹੈ।
ਇੱਕ ਤਾਜ਼ਾ ਹਮਲੇ ਵਿੱਚ, ਏਰੀਆ-ਬਾਡੀ ਪੇਲੋਡ ਨੂੰ "The Indian Way.doc" ਨਾਮ ਦੀ ਇੱਕ ਰਿਚ ਟੈਕਸਟ ਫਾਰਮੈਟ ਫਾਈਲ ਰਾਹੀਂ ਡਿਲੀਵਰ ਕੀਤਾ ਗਿਆ ਸੀ। ਰਾਇਲਰੋਡ ਟੂਲ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਕੁਝ ਸ਼ੋਸ਼ਣਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਲਈ ਫਾਈਲ ਨੂੰ ਹਥਿਆਰ ਬਣਾਇਆ ਗਿਆ ਸੀ। ਇੱਕ ਵਾਰ ਰਿਚ ਟੈਕਸਟ ਫਾਰਮੈਟ ਫਾਈਲ ਖੋਲ੍ਹਣ ਤੋਂ ਬਾਅਦ, ਇਹ "Intel.wll" ਨਾਮ ਦੀ ਇੱਕ ਫਾਈਲ ਛੱਡਦੀ ਹੈ, ਜੋ ਇੱਕ ਲੋਡਰ ਵਜੋਂ ਕੰਮ ਕਰਦੀ ਹੈ ਜੋ ਇੱਕ ਰਿਮੋਟ ਡੋਮੇਨ ਤੋਂ ਦੂਜੇ ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ।
ਮਾਹਿਰਾਂ ਦਾ ਮੰਨਣਾ ਹੈ ਕਿ ਨਾਇਕੋਨ ਦੇ ਹਮਲਿਆਂ ਦਾ ਮਕਸਦ ਖੁਫੀਆ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨਾ ਅਤੇ ਸਰਕਾਰਾਂ ਦੀ ਜਾਸੂਸੀ ਕਰਨਾ ਹੈ। Naikon APT ਦੇ ਪਿੱਛੇ ਦੇ ਮਾੜੇ ਐਕਟਰ ਸੰਕਰਮਿਤ ਸਿਸਟਮਾਂ 'ਤੇ ਫਾਈਲਾਂ ਤੱਕ ਪਹੁੰਚ ਕਰ ਸਕਦੇ ਹਨ ਅਤੇ ਕੀਸਟ੍ਰੋਕ ਲੌਗ ਕਰ ਸਕਦੇ ਹਨ ਅਤੇ ਸਕ੍ਰੀਨਸ਼ਾਟ ਲੈ ਸਕਦੇ ਹਨ। ਏਪੀਟੀ ਨੇ ਇੰਨੇ ਲੰਬੇ ਸਮੇਂ ਲਈ ਆਪਣੀਆਂ ਤਾਜ਼ਾ ਗਤੀਵਿਧੀਆਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਤੋਂ ਬਚਣ ਦਾ ਕਾਰਨ ਇਹ ਸੀ ਕਿ ਨਾਇਕੋਨ ਨੇ ਸਰਕਾਰੀ ਸਰਵਰਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜੋ ਪਹਿਲਾਂ ਹੀ ਇਸਦੇ ਕਮਾਂਡ ਅਤੇ ਨਿਯੰਤਰਣ ਪੁਆਇੰਟਾਂ ਵਜੋਂ ਸਮਝੌਤਾ ਕਰ ਚੁੱਕੇ ਸਨ।
Naikon APT ਨੇ ਅਜੇ ਤੱਕ ਆਪਣੇ ਦਸਤਾਨੇ ਨਹੀਂ ਲਟਕਾਏ ਹਨ, ਯਕੀਨਨ। ਹਾਲਾਂਕਿ, ਸਾਈਬਰ ਬਦਮਾਸ਼ਾਂ ਨੇ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦੇ ਰਾਡਾਰ ਦੇ ਅਧੀਨ ਰਹਿਣ ਲਈ ਕੁਝ ਉਪਾਅ ਕੀਤੇ ਹਨ।
Naikon APT ਟੀਚੇ
ਕਈ ਸਾਲ ਪਹਿਲਾਂ ਦੇ ਹਮਲਿਆਂ ਨਾਲ ਹਾਲ ਹੀ ਦੇ ਹਮਲਿਆਂ ਦੀ ਤੁਲਨਾ ਕਰਨਾ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ Naikon APT ਉਸੇ ਖੇਤਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ ਜਾਰੀ ਰੱਖਦਾ ਹੈ। ਜਿਵੇਂ ਕਿ ਜ਼ਿਕਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਪੰਜ ਸਾਲ ਪਹਿਲਾਂ ਉਹਨਾਂ ਦੇ ਟੀਚਿਆਂ ਵਿੱਚ ਏਸ਼ੀਆ-ਪ੍ਰਸ਼ਾਂਤ ਖੇਤਰ ਦੀਆਂ ਸਰਕਾਰਾਂ ਸ਼ਾਮਲ ਸਨ, ਅਤੇ ਉਹਨਾਂ ਦੇ ਹਾਲ ਹੀ ਦੇ ਹਮਲੇ ਵੀ ਅਜਿਹਾ ਕਰਦੇ ਪ੍ਰਤੀਤ ਹੁੰਦੇ ਹਨ।
ਸਮੂਹ ਬਾਰੇ ਧਿਆਨ ਦੇਣ ਵਾਲੀ ਇੱਕ ਦਿਲਚਸਪ ਗੱਲ ਇਹ ਹੈ ਕਿ ਉਹ ਹੌਲੀ-ਹੌਲੀ ਵੱਖ-ਵੱਖ ਸਰਕਾਰਾਂ ਵਿੱਚ ਆਪਣੇ ਪੈਰ ਪਸਾਰ ਰਹੇ ਹਨ। ਇਹ ਸਮੂਹ ਇੱਕ ਉਲੰਘਣ ਵਾਲੀ ਸਰਕਾਰ ਤੋਂ ਦੂਜੀ ਸਰਕਾਰ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਵਿੱਚ ਹਮਲੇ ਸ਼ੁਰੂ ਕਰਕੇ ਅਜਿਹਾ ਕਰਦਾ ਹੈ। ਇੱਕ ਅਜਿਹਾ ਮਾਮਲਾ ਸੀ ਜਿੱਥੇ ਇੱਕ ਵਿਦੇਸ਼ੀ ਦੂਤਾਵਾਸ ਨੇ ਅਣਜਾਣੇ ਵਿੱਚ ਆਪਣੇ ਮੇਜ਼ਬਾਨ ਦੇਸ਼ ਦੀ ਸਰਕਾਰ ਨੂੰ ਸੰਕਰਮਿਤ ਦਸਤਾਵੇਜ਼ ਭੇਜ ਦਿੱਤੇ। ਇਹ ਘਟਨਾ ਇਹ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਹੈਕਰ ਨਵੇਂ ਟੀਚਿਆਂ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨ ਅਤੇ ਉਨ੍ਹਾਂ ਦੇ ਜਾਸੂਸੀ ਨੈੱਟਵਰਕ ਨੂੰ ਹੋਰ ਵਿਕਸਤ ਕਰਨ ਲਈ ਭਰੋਸੇਯੋਗ ਸੰਪਰਕਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਿਵੇਂ ਕਰ ਰਹੇ ਹਨ।
ਨਾਇਕੋਨ ਏਪੀਟੀ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਅਤੇ ਟੀਚਿਆਂ ਨੂੰ ਦੇਖਦੇ ਹੋਏ, ਇਹ ਸਪੱਸ਼ਟ ਹੋ ਜਾਂਦਾ ਹੈ ਕਿ ਹਮਲਿਆਂ ਦੇ ਪਿੱਛੇ ਦਾ ਉਦੇਸ਼ ਨਿਸ਼ਾਨਾ ਸਰਕਾਰਾਂ ਦੀ ਜਾਸੂਸੀ ਕਰਨਾ ਅਤੇ ਉਨ੍ਹਾਂ 'ਤੇ ਖੁਫੀਆ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨਾ ਹੈ। ਇਹ ਸਮੂਹ ਸਰਕਾਰੀ ਵਿਭਾਗਾਂ ਦੇ ਅੰਦਰ ਆਪਣੇ ਟੀਚਿਆਂ ਤੋਂ ਖਾਸ ਦਸਤਾਵੇਜ਼ ਇਕੱਠੇ ਕਰ ਰਿਹਾ ਹੈ, ਅਤੇ ਹਟਾਉਣਯੋਗ ਡਰਾਈਵਾਂ ਤੋਂ ਡਾਟਾ ਵੀ ਹੜੱਪ ਰਿਹਾ ਹੈ, ਸੰਕਰਮਿਤ ਕੰਪਿਊਟਰਾਂ ਦੇ ਸਕ੍ਰੀਨਸ਼ਾਟ ਇਕੱਠੇ ਕਰ ਰਿਹਾ ਹੈ, ਅਤੇ ਜਾਸੂਸੀ ਲਈ ਚੋਰੀ ਹੋਏ ਡੇਟਾ ਦੀ ਵਰਤੋਂ ਕਰ ਰਿਹਾ ਹੈ।
ਜੇ ਇਹ ਸਭ ਕਾਫ਼ੀ ਮਾੜਾ ਨਹੀਂ ਸੀ, ਤਾਂ ਨਾਇਕੋਨ ਏਪੀਟੀ ਨੇ ਸਰਕਾਰੀ ਨੈਟਵਰਕਾਂ ਵਿੱਚੋਂ ਲੰਘਣ ਵੇਲੇ ਖੋਜ ਤੋਂ ਬਚਣ ਵਿੱਚ ਮਾਹਰ ਸਾਬਤ ਕੀਤਾ ਹੈ। ਇਹ ਸਮੂਹ ਕਿਸੇ ਸੰਕਰਮਿਤ ਮੰਤਰਾਲੇ ਦੇ ਅੰਦਰ ਸਰਵਰਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਕੇ ਅਤੇ ਚੋਰੀ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਇਕੱਠਾ ਕਰਨ ਅਤੇ ਭੇਜਣ ਲਈ ਉਹਨਾਂ ਕੰਪਿਊਟਰਾਂ ਨੂੰ ਕਮਾਂਡ ਅਤੇ ਕੰਟਰੋਲ ਸਰਵਰ ਵਜੋਂ ਵਰਤ ਕੇ ਅਜਿਹਾ ਕਰਦਾ ਹੈ। ਇਸ ਸੰਕਰਮਣ ਵਿਧੀ ਦੇ ਕਾਰਨ ਉਹਨਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣਾ ਲਗਭਗ ਅਸੰਭਵ ਹੈ. ਇਹ ਉਹਨਾਂ ਤਰੀਕਿਆਂ ਵਿੱਚੋਂ ਇੱਕ ਸੀ ਜਿਸ ਨਾਲ ਉਹ ਪੰਜ ਸਾਲਾਂ ਲਈ ਖੋਜ ਤੋਂ ਬਚਣ ਦੇ ਯੋਗ ਸਨ।
ਆਰੀਆ-ਸਰੀਰ ਦੀ ਲਾਗ ਚੇਨ
ਖੋਜ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਗਰੁੱਪ ਕੋਲ ਏਰੀਆ-ਬਾਡੀ ਨਾਲ ਕੰਪਿਊਟਰਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ ਦੇ ਕਈ ਵੱਖ-ਵੱਖ ਤਰੀਕੇ ਹਨ। ਸਮੂਹ ਦੀ ਜਾਂਚ ਉਦੋਂ ਸ਼ੁਰੂ ਹੋਈ ਜਦੋਂ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਖੇਤਰ ਵਿੱਚ ਇੱਕ ਸਰਕਾਰੀ ਦੂਤਾਵਾਸ ਦੁਆਰਾ ਆਸਟਰੇਲੀਆਈ ਰਾਜ ਸਰਕਾਰ ਨੂੰ ਭੇਜੀ ਗਈ ਇੱਕ ਖਤਰਨਾਕ ਈਮੇਲ ਦੇਖੀ। ਸੰਕਰਮਿਤ ਦਸਤਾਵੇਜ਼ ਨੂੰ "ਦ ਇੰਡੀਅਨਜ਼ ਵੇ" ਕਿਹਾ ਜਾਂਦਾ ਸੀ ਅਤੇ ਇਹ ਇੱਕ RTF ਫਾਈਲ ਸੀ। ਫਾਈਲ ਨੂੰ ਰਾਇਲਰੋਡ ਐਕਸਪਲੋਇਟ ਬਿਲਡਰ ਨਾਲ ਹਥਿਆਰ ਬਣਾਇਆ ਗਿਆ ਸੀ, ਜੋ ਕਿ ਕੰਪਿਊਟਰ 'ਤੇ ਵਰਡ ਫੋਲਡਰ ਵਿੱਚ intel.wll ਲੋਡਰ ਨੂੰ ਸੁੱਟ ਦਿੰਦਾ ਹੈ। ਲੋਡਰ spool.jtjewifyn[.]com ਤੋਂ ਲਾਗ ਦੇ ਅਗਲੇ ਪੜਾਅ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਇਸਨੂੰ ਚਲਾਉਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ।
ਇਹ ਪਹਿਲੀ ਵਾਰ ਨਹੀਂ ਹੋਵੇਗਾ ਜਦੋਂ ਹੈਕਰਾਂ ਨੇ ਅੰਤਿਮ ਡਿਲੀਵਰੀ ਕਰਨ ਲਈ ਰਾਇਲ ਰੋਡ ਮਾਲਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਹੋਵੇ। ਹੋਰ ਏਟੀਪੀ ਸਮੂਹ, ਜਿਵੇਂ ਕਿ ਵਿਸ਼ੀਸ ਪਾਂਡਾ, ਵੀ ਰਾਇਲਰੋਡ ਡਿਲੀਵਰੀ ਵਿਧੀ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ। ਨਾਇਕੋਨ ਨੂੰ ਪੁਰਾਲੇਖ ਫਾਈਲਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਵੀ ਦੇਖਿਆ ਗਿਆ ਹੈ ਜਿਸ ਵਿੱਚ ਖਤਰਨਾਕ DLL ਫਾਈਲਾਂ ਨਾਲ ਲੋਡ ਕੀਤੀਆਂ ਜਾਇਜ਼ ਫਾਈਲਾਂ ਹੁੰਦੀਆਂ ਹਨ। ਇਹ ਵਿਧੀ ਕਿਸੇ ਟੀਚੇ 'ਤੇ ਸਾਈਬਰ-ਅਟੈਕ ਕਰਨ ਲਈ ਆਉਟਲੁੱਕ ਅਤੇ ਹੋਰ ਜਾਇਜ਼ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਫਾਈਲਾਂ ਦਾ ਫਾਇਦਾ ਉਠਾਉਂਦੀ ਹੈ। Naikon APT ਸਾਦੀ ਨਜ਼ਰ ਵਿੱਚ ਲੁਕਣ ਵਿੱਚ ਬਹੁਤ ਮਾਹਰ ਹੋ ਗਿਆ ਜਾਪਦਾ ਹੈ।
ਨਾਇਕੋਨ ਦਾ ਪਹਿਲਾ-ਪੜਾਅ ਲੋਡਰ
ਏਰੀਆ-ਬਾਡੀ RAT ਤੈਨਾਤ ਕੀਤੇ ਜਾਣ ਤੋਂ ਪਹਿਲਾਂ, ਪਹਿਲੇ ਪੜਾਅ ਦਾ ਲੋਡਰ ਲਾਗ ਵਾਲੇ ਸਿਸਟਮ 'ਤੇ ਕਈ ਕੰਮ ਕਰਦਾ ਹੈ। ਲੋਡਰ ਪੀੜਤ ਦੀ ਮਸ਼ੀਨ 'ਤੇ ਨਿਰੰਤਰਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ, ਅਕਸਰ ਸਟਾਰਟਅੱਪ ਫੋਲਡਰ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਫਿਰ ਪੇਲੋਡ ਆਪਣੇ ਆਪ ਨੂੰ ਇੱਕ ਹੋਰ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਇੰਜੈਕਟ ਕਰਦਾ ਹੈ, dllhost.exe ਅਤੇ rundll32.exe ਹੋਣ ਦੀਆਂ ਨਿਸ਼ਾਨਾ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੀਆਂ ਕੁਝ ਉਦਾਹਰਣਾਂ ਦੇ ਨਾਲ। ਲੋਡਰ ਆਪਣੀ ਸੰਰਚਨਾ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਦਾ ਹੈ ਅਤੇ ਅਗਲੇ ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ C&C ਨਾਲ ਸੰਪਰਕ ਕਰਦਾ ਹੈ - Aria-body RAT, ਜਿਸ ਨੂੰ ਫਿਰ ਡੀਕ੍ਰਿਪਟ ਅਤੇ ਲੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
ਨਾਇਕੋਨ ਦਾ ਆਰੀਆ-ਸਰੀਰ ਪ੍ਰਕਿਰਿਆ ਮਾਰਗ
ਆਰਿਆ-ਸਰੀਰ 'ਤੇ ਇੱਕ ਨਜ਼ਦੀਕੀ ਨਜ਼ਰ
ਨਾਇਕੋਨ ਦੁਆਰਾ ਕੀਤੇ ਗਏ ਤਾਜ਼ਾ ਹਮਲਿਆਂ ਨੇ ਇੱਕ ਵਾਰ ਫਿਰ ਏਰੀਆ-ਬਾਡੀ ਕਸਟਮ RAT ਦੀ ਵਰਤੋਂ ਕੀਤੀ, ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ APT ਦੁਆਰਾ ਇਸਦੇ ਉਦੇਸ਼ਾਂ ਲਈ ਵਿਕਸਤ ਕੀਤਾ ਗਿਆ ਸੀ। ਪੇਲੋਡ ਦਾ ਫਾਈਲ ਨਾਮ ਉਹ ਹੈ ਜੋ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇਸਦੇ ਨਾਮ - aria-body-dllx86.dll ਲਈ ਵਰਤਿਆ ਹੈ। ਕਸਟਮ RAT ਦੀ ਕਾਰਜਕੁਸ਼ਲਤਾ ਜ਼ਿਆਦਾਤਰ ਹੋਰ RATs ਵਿੱਚ ਮਿਲਦੀ ਹੈ:
- ਫਾਈਲਾਂ ਅਤੇ ਡਾਇਰੈਕਟਰੀਆਂ ਦੀ ਹੇਰਾਫੇਰੀ
- ਸਕਰੀਨਸ਼ਾਟ ਲੈਣਾ
- ਫਾਈਲਾਂ ਦੀ ਖੋਜ ਕਰ ਰਿਹਾ ਹੈ
- ShellExecute ਫੰਕਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਫਾਈਲਾਂ ਨੂੰ ਲਾਂਚ ਕਰਨਾ
- ਇੱਕ TCP ਸੈਸ਼ਨ ਬੰਦ ਕਰਨਾ
- ਐਮਾਜ਼ਾਨ ਦੀ 'ਚੈੱਕਪ' ਸੇਵਾ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਪੀੜਤ ਸਿਸਟਮ ਦੀ ਸਥਿਤੀ ਦੀ ਜਾਂਚ ਕਰਨਾ
ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਏਰੀਆ-ਬਾਡੀ ਦੀਆਂ ਵੱਖੋ-ਵੱਖਰੀਆਂ ਉਦਾਹਰਣਾਂ ਨੂੰ ਦੇਖਿਆ ਹੈ ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਹੇਠ ਲਿਖੀਆਂ ਕੁਝ ਕਾਰਜਕੁਸ਼ਲਤਾਵਾਂ ਵੀ ਸਨ:
- USB ਡਾਟਾ ਇਕੱਠਾ ਕਰਨਾ
- ਕੀਸਟ੍ਰੋਕ ਲਾਗਰ
- ਰਿਵਰਸ ਸਾਕਸ ਪ੍ਰੌਕਸੀ
ਆਰੀਆ-ਸਰੀਰ ਦਾ ਪਹਿਲਾ ਕੰਮ ਪੀੜਤ ਪ੍ਰਣਾਲੀ ਬਾਰੇ ਵੱਧ ਤੋਂ ਵੱਧ ਜਾਣਕਾਰੀ ਨੂੰ ਖੁਰਚਣਾ ਹੈ। ਇਕੱਤਰ ਕੀਤੇ ਵੇਰਵਿਆਂ ਵਿੱਚ ਹੋਸਟ ਨਾਮ, ਉਪਭੋਗਤਾ ਨਾਮ, OS ਸੰਸਕਰਣ, CPU ਬਾਰੰਬਾਰਤਾ, MachineGUID ਕੁੰਜੀ ਅਤੇ ਜਨਤਕ IP ਪਤਾ ਸ਼ਾਮਲ ਹਨ। ਇਕੱਤਰ ਕੀਤੇ ਗਏ ਡੇਟਾ ਨੂੰ ਬੇਤਰਤੀਬ ਢੰਗ ਨਾਲ ਤਿਆਰ ਕੀਤੇ ਪਾਸਵਰਡ ਨਾਲ ਜ਼ਿਪ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਜੋ ਫਿਰ ਐਨਕ੍ਰਿਪਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
RAT ਆਪਣੇ C&C ਸਰਵਰਾਂ ਨਾਲ HTTP ਜਾਂ TCP ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸੰਚਾਰ ਕਰ ਸਕਦਾ ਹੈ। ਕਿਹੜੇ ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਇਹ ਲੋਡਰ ਦੀ ਸੰਰਚਨਾ ਵਿੱਚ ਇੱਕ ਫਲੈਗ ਦੁਆਰਾ ਨਿਰਧਾਰਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਪੀੜਤ ਜ਼ਿਪ ਕੀਤੇ ਸਿਸਟਮ ਡੇਟਾ ਨੂੰ ਏਨਕ੍ਰਿਪਟਡ ਆਰਕਾਈਵ ਪਾਸਵਰਡ ਦੇ ਨਾਲ C&C ਵਿੱਚ ਟ੍ਰਾਂਸਫਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਟ੍ਰਾਂਸਫਰ ਪੂਰਾ ਹੋਣ ਤੋਂ ਬਾਅਦ, RAT ਆਉਣ ਵਾਲੀਆਂ ਕਮਾਂਡਾਂ ਲਈ ਇਸਦੇ C&C ਨੂੰ ਸੁਣਨਾ ਸ਼ੁਰੂ ਕਰ ਦਿੰਦਾ ਹੈ।
