Naikon APT

Naikon to nazwa APT (Advanced Persistent Threat), która prawdopodobnie pochodzi z Chin. Grupa hakerska Naikon została po raz pierwszy zauważona ponad dekadę temu, w 2010 roku. APT Naikon trafił na pierwsze strony gazet w 2015 roku, kiedy infrastruktura wykorzystywana przez cyberprzestępców została wykryta przez badaczy szkodliwego oprogramowania. Dzięki temu ujawnieniu jeden z członków grupy hakerskiej Naikon został złapany przez organy ścigania. Po tej gafie analitycy cyberbezpieczeństwa założyli, że APT Naikon wypadł z rynku. Niedawno jednak ponownie pojawiła się grupa hakerska Naikon z trojanem typu backdoor Aria-body — nowym zagrożeniem, które ma wiele funkcji.

Ataki Niakon próbują uniknąć wykrycia

Naikon APT to grupa hakerska, która zwykle atakuje urzędników i instytucje rządowe. Większość ataków przeprowadzanych przez grupę hakerską Naikon koncentruje się na Filipinach, Wietnamie, Indonezji, Birmie, Brunei i Australii. Większość instytucji rządowych będących celem cyberprzestępców z Naikon APT zwykle działa w sektorze spraw zagranicznych lub branży naukowo-technicznej. Niektóre firmy i firmy, które są własnością rządu, są podobno również celem ataków Naikon APT.

Obserwując arsenał hakerski APT Naikon, badacze szkodliwego oprogramowania doszli do wniosku, że osoby te mają tendencję do przeprowadzania długotrwałych operacji rozpoznawczych i szpiegowskich. Jest to bardzo typowe dla grup hakerskich, których celem są obce rządy i urzędnicy. Ostatnia operacja Naikon, która obejmowała wspomniane narzędzie hakerskie Aria-body, była wymierzona w rząd australijski. Celem trojana typu backdoor Aria-body było zbieranie danych i przejęcie kontroli nad atakowanymi systemami połączonymi z rządem. Jest prawdopodobne, że po tym, jak jeden z członków Naikon APT został złapany w 2015 roku, grupa hakerska postanowiła zacząć działać ciszej, aby uniknąć wykrycia przez analityków szkodliwego oprogramowania. To prawdopodobnie zmyliło ekspertów, którzy uwierzyli, że grupa hakerska Naikon przeszła na emeryturę.

Grupa hakerska Naikon rozprzestrzenia szkodliwe oprogramowanie Aria-body za pośrednictwem wiadomości e-mail typu spear-phishing. E-maile, o których mowa, zostały stworzone, aby uniknąć wzbudzania podejrzeń w konkretnym celu. Fałszywe wiadomości e-mail zawierałyby uszkodzony załącznik, którego celem jest wykorzystanie luki w zabezpieczeniach usługi Microsoft Office.

Naikon otrzymuje nowe koło ratunkowe dla ataków ukierunkowanych

Mimo że Naikon pozostawał pozornie uśpiony przez lata, a niektórzy nawet spekulowali, że APT został rozwiązany po szczegółowym raporcie z 2015 r. na temat jego struktury, teraz ponownie podniósł głowę.

Naukowcy współpracujący z Check Point odkryli, że Naikon przez ostatnie kilka lat nieprzerwanie skupiał się na tym samym regionie – krajach i organizacjach zlokalizowanych w regionie Azji i Pacyfiku. Terytoria zaatakowane przez Naikon to Australia, Indonezja, Wietnam, Brunei, Tajlandia i Birma. Głównym narzędziem wykorzystywanym w tych atakach był backdoor Aria-body i narzędzie RAT firmy Naikon.

Organizacje będące celem ostatnich ataków obejmują ministerstwa i korporacje należące do rządu danego kraju. Ciekawą obserwacją jest to, że gdy Naikon zdobędzie przyczółek w zagranicznym podmiocie, używa go do dalszego rozprzestrzeniania złośliwego oprogramowania. Jednym z takich przykładów jest zagraniczna ambasada, która została wykorzystana do rozprzestrzeniania szkodliwego oprogramowania na rząd kraju goszczącego. Takie podejście wykorzystuje znane i zaufane kontakty w ambasadzie, co ułatwia infiltrację.

W niedawnym ataku ładunek Aria-body został dostarczony za pośrednictwem pliku Rich Text Format o nazwie „The Indian Way.doc”. Plik został uzbrojony w celu wykorzystania pewnych exploitów za pomocą narzędzia RoyalRoad. Po otwarciu pliku Rich Text Format odrzuca plik o nazwie „Intel.wll”, który działa jako moduł ładujący, który próbuje pobrać ładunek drugiego etapu ze zdalnej domeny.

Eksperci uważają, że celem ataków Naikona jest zbieranie informacji wywiadowczych i szpiegowanie rządów. Źli aktorzy stojący za Naikon APT mogą uzyskać dostęp do plików w zainfekowanych systemach, a nawet rejestrować naciśnięcia klawiszy i robić zrzuty ekranu. Jednym z powodów, dla których APT tak długo unikało wykrycia swoich ostatnich działań, było to, że Naikon wykorzystywał serwery rządowe, które już zostały skompromitowane jako punkty dowodzenia i kontroli.

Naikon APT z pewnością jeszcze nie zawiesił rękawic. Jednak cyberprzestępcy podjęli pewne działania, aby pozostać poza radarem badaczy cyberbezpieczeństwa.

Cele Naikon APT

Porównanie ostatnich ataków z atakami sprzed kilku lat pokazuje, że Naikon APT nadal atakuje te same regiony. Jak wspomniano, ich cele pięć lat temu obejmowały rządy w regionie Azji i Pacyfiku, a ich ostatnie ataki wydają się robić to samo.

Jedną ciekawą rzeczą, którą należy zauważyć w grupie, jest to, że powoli poszerzają swoją przyczółek w różnych rządach. Grupa robi to, przeprowadzając ataki jednego z naruszonych rządów, próbując zainfekować inny rząd. Był jeden przypadek, w którym zagraniczna ambasada nieświadomie wysłała zainfekowane dokumenty do rządu kraju przyjmującego. Ten incydent pokazuje, jak skutecznie hakerzy wykorzystują zaufane kontakty do infiltracji nowych celów i dalszego rozwijania swojej sieci szpiegowskiej.

Biorąc pod uwagę możliwości i cele Naikon APT, staje się jasne, że celem ataków jest szpiegowanie docelowych rządów i gromadzenie informacji na ich temat. Grupa zbiera określone dokumenty od swoich celów w departamentach rządowych, a także pozyskuje dane z dysków wymiennych, zbiera zrzuty ekranu zainfekowanych komputerów i wykorzystuje skradzione dane do celów szpiegowskich.

Jakby tego wszystkiego było mało, Naikon APT okazał się biegły w unikaniu wykrycia podczas przechodzenia przez sieci rządowe. Grupa robi to, kompromitując serwery w zainfekowanym ministerstwie i wykorzystując te komputery jako serwer dowodzenia i kontroli do zbierania i wysyłania skradzionych danych. Wyśledzenie ich jest prawie niemożliwe dzięki tej metodzie infekcji. Był to jeden ze sposobów na uniknięcie wykrycia przez pięć lat.

Łańcuch infekcji ciała Aria

Badania pokazują, że grupa ma kilka różnych sposobów infekowania komputerów Aria-Body. Dochodzenie w sprawie grupy rozpoczęło się, gdy badacze zauważyli złośliwą wiadomość e-mail wysłaną do rządu australijskiego przez ambasadę rządową w regionie. Zainfekowany dokument nazywał się „The Indians Way” i był plikiem RTF. Plik został uzbrojony w konstruktor exploitów RoyalRoad, który umieszcza program ładujący intel.wll w folderze Word na komputerze. Program ładujący próbuje pobrać następny etap infekcji ze spool.jtjewifyn[.]com i wykonać go.

To nie byłby pierwszy raz, kiedy hakerzy wykorzystali złośliwe oprogramowanie RoyalRoad do ostatecznej dostawy. Inne grupy ATP, takie jak Vicious Panda, również korzystają z metody dostawy RoyalRoad. Naikon był również widziany przy użyciu plików archiwów, które zawierają legalne pliki załadowane złośliwymi plikami DLL. Ta metoda wykorzystuje Outlooka i inne legalne pliki wykonywalne do przeprowadzenia cyberataku na cel. Wygląda na to, że Naikon APT stał się bardzo biegły w ukrywaniu się na widoku.

Ładowarka pierwszego stopnia firmy Naikon

Zanim program Aria-body RAT zostanie wdrożony, program ładujący pierwszego stopnia wykonuje szereg zadań na zainfekowanym systemie. Loader jest odpowiedzialny za zapewnienie trwałości na komputerze ofiary, często korzystając z folderu Startup. Następnie ładunek wstrzykuje się do innego procesu, przy czym kilka przykładów docelowych procesów to dllhost.exe i rundll32.exe. Program ładujący odszyfrowuje swoją konfigurację i kontaktuje się z C&C, aby pobrać ładunek następnego etapu — RAT Aria-body, który jest następnie odszyfrowywany i ładowany.

Ścieżka procesu Aria-body firmy Naikon

Bliższe spojrzenie na Aria-body

Ostatnie ataki przeprowadzone przez Naikon po raz kolejny wykorzystywały niestandardowy RAT Aria-body, prawdopodobnie opracowany przez APT do swoich celów. Nazwa pliku ładunku jest tym, czego badacze użyli do jego nazwy - aria-body-dllx86.dll. Niestandardowy RAT ma funkcje, które można znaleźć w większości innych RAT:

• manipulacja plikami i katalogami
• robienie zrzutów ekranu
• wyszukiwanie plików
• uruchamianie plików za pomocą funkcji ShellExecute
• zamykanie sesji TCP
• sprawdzanie lokalizacji systemu ofiary za pomocą usługi „checkip” firmy Amazon

Badacze zauważyli różne przypadki Aria-body, które również posiadały niektóre z następujących funkcji:

• zbieranie danych USB
• rejestrator naciśnięć klawiszy
• proxy odwróconych skarpet

Pierwszym zadaniem Aria-body jest zebranie jak największej ilości informacji o systemie ofiary. Zebrane szczegóły obejmują nazwę hosta, nazwę użytkownika, wersję systemu operacyjnego, częstotliwość procesora, klucz MachineGUID i publiczny adres IP. Zebrany fragment danych jest spakowany z losowo wygenerowanym hasłem, które jest następnie szyfrowane.

RAT może komunikować się ze swoimi serwerami C&C za pomocą protokołu HTTP lub TCP. Który z protokołów jest używany jest określany przez flagę w konfiguracji programu ładującego. Spakowane dane ofiary są przesyłane do centrum kontroli wraz z zaszyfrowanym hasłem do archiwum. Po zakończeniu przesyłania RAT zaczyna nasłuchiwać swojego C&C pod kątem nadchodzących poleceń.