Naikon APT

Naikon este numele unui APT (Advanced Persistent Threat) despre care se crede că provine din China. Grupul de hacking Naikon a fost depistat pentru prima dată în urmă cu peste un deceniu, în 2010. Naikon APT a făcut titluri în 2015, când infrastructura folosită de escrocii cibernetici a fost descoperită de cercetătorii de malware. Datorită acestei expuneri, unul dintre membrii grupului de hacking Naikon a fost prins de forțele de ordine. După această gafă, analiștii de securitate cibernetică au presupus că APT-ul Naikon a încetat. Cu toate acestea, grupul de hacking Naikon a reapărut recent cu troianul Aria-body backdoor – o nouă amenințare care are o multitudine de caracteristici.

Niakon atacă încercarea de a evita detectarea

Naikon APT este un grup de hacking care tinde să vizeze oficialii guvernamentali și instituțiile. Majoritatea atacurilor efectuate de grupul de hacking Naikon sunt concentrate în Filipine, Vietnam, Indonezia, Myanmar, Brunei și Australia. Majoritatea instituțiilor guvernamentale vizate de escrocii cibernetici de la Naikon APT operează de obicei în sectorul afacerilor externe sau în industria științei și tehnologiei. Unele afaceri și companii, care sunt deținute de guvern, au fost vizate și de Naikon APT.

Observând arsenalul de hacking al Naikon APT, cercetătorii de malware au ajuns la concluzia că acești indivizi tind să efectueze operațiuni de recunoaștere și spionaj pe termen lung. Acest lucru este foarte tipic pentru grupurile de hacking care vizează guverne și oficiali străini. Operațiunea recentă Naikon care a implicat instrumentul de hacking Aria-body menționat mai sus a vizat guvernul australian. Scopul troianului Aria-body backdoor a fost să colecteze date și să preia controlul asupra sistemelor țintite legate de guvern. Este probabil ca, după ce unul dintre membrii Naikon APT a fost prins în 2015, grupul de hacking a decis să înceapă să opereze mai tăcut pentru a evita detectarea de către analiștii malware. Probabil că acest lucru i-a înșelat pe experți să creadă că grupul de hacking Naikon s-a retras.

Grupul de hacking Naikon propagă malware-ul Aria-body prin e-mailuri de tip spear-phishing. E-mailurile în cauză au fost create pentru a evita ridicarea suspiciunilor în mod specific la țintă. E-mailurile false ar conține un atașament corupt al cărui scop este să exploateze o vulnerabilitate care poate fi găsită în serviciul Microsoft Office.

Naikon primește o nouă linie de salvare pentru atacurile direcționate

Chiar dacă Naikon a rămas aparent inactiv de ani de zile și unii chiar au speculat că APT a fost desființat în urma unui raport detaliat din 2015 privind structura sa, acum și-a ridicat din nou capul.

Cercetătorii care lucrează cu Check Point au descoperit că Naikon și-a petrecut ultimii câțiva ani urmărind în mod continuu aceeași regiune - țări și organizații situate în regiunea Asia Pacific. Teritoriile atacate de Naikon includ Australia, Indonezia, Vietnam, Brunei, Thailanda și Myanmar. Instrumentul principal folosit în aceste atacuri a fost ușa din spate a corpului Aria de la Naikon și instrumentul RAT.

Organizațiile vizate în atacurile mai recente includ ministere guvernamentale și corporații deținute de guvernul țării respective. O observație curioasă este că, odată ce Naikon câștigă un punct de sprijin într-o entitate străină, o folosește apoi pentru a răspândi în continuare malware. Un astfel de exemplu este o ambasadă străină care a fost folosită pentru a răspândi programe malware către guvernul țării gazdă. Această abordare folosește contacte cunoscute și de încredere din cadrul ambasadei, ceea ce facilitează infiltrarea.

Într-un atac recent, încărcătura utilă Aria-body a fost livrată printr-un fișier Rich Text Format numit „The Indian Way.doc”. Fișierul a fost armat pentru a utiliza anumite exploit-uri folosind instrumentul RoyalRoad. Odată ce fișierul cu format text îmbogățit este deschis, pică un fișier numit „Intel.wll”, care acționează ca un încărcător care încearcă să descarce încărcătura utilă din a doua etapă de pe un domeniu la distanță.

Experții cred că scopul atacurilor lui Naikon este strângerea de informații și spionarea guvernelor. Actorii răi din spatele Naikon APT pot accesa fișiere de pe sistemele infectate și chiar pot înregistra apăsările de taste și pot face capturi de ecran. O parte din motivul pentru care APT a susținut atât de mult timp detectarea activităților sale mai recente a fost că Naikon a folosit servere guvernamentale care erau deja compromise ca puncte de comandă și control.

Cu siguranță, Naikon APT nu și-a agățat mănușile încă. Cu toate acestea, escrocii cibernetici au luat unele măsuri pentru a rămâne sub radarul cercetătorilor în domeniul securității cibernetice.

Țintele Naikon APT

Comparând atacurile recente cu cele de acum câțiva ani, arată că Naikon APT continuă să vizeze aceleași regiuni. După cum sa menționat, țintele lor în urmă cu cinci ani au inclus guverne din regiunea Asia-Pacific, iar atacurile lor recente par să facă același lucru.

Un lucru interesant de remarcat despre grup este că și-au extins treptat locul în diferite guverne. Grupul face acest lucru lansând atacuri din partea unui guvern încălcat în încercarea de a infecta un alt guvern. A existat un caz în care o ambasadă străină a trimis fără să știe documente infectate guvernului țării gazdă. Acest incident arată cât de eficient exploatează hackerii contactele de încredere pentru a se infiltra în noi ținte și pentru a-și dezvolta în continuare rețeaua de spionaj.

Având în vedere capabilitățile și țintele Naikon APT, devine clar că scopul din spatele atacurilor este de a spiona guvernele țintă și de a aduna informații despre ele. Grupul adună documente specifice de la țintele lor în cadrul departamentelor guvernamentale și, de asemenea, preia date de pe unități amovibile, colectează capturi de ecran ale computerelor infectate și folosește datele furate pentru spionaj.

Dacă toate acestea nu au fost suficient de rău, Naikon APT s-a dovedit a fi abil în a evita detectarea atunci când trece prin rețelele guvernamentale. Grupul face acest lucru prin compromiterea serverelor dintr-un minister infectat și folosind acele computere ca server de comandă și control pentru a colecta și trimite datele furate. Este aproape imposibil să le urmăriți datorită acestei metode de infecție. Acesta a fost unul dintre modalitățile prin care au putut evita detectarea timp de cinci ani.

Lanțul de infecție Aria-Corp

Cercetările arată că grupul are mai multe moduri diferite de a infecta computerele cu Aria-Body. Investigația asupra grupului a început când cercetătorii au descoperit un e-mail rău intenționat trimis guvernului statului australian de către o ambasada guvernamentală din regiune. Documentul infectat se numea „The Indians Way” și era un fișier RTF. Fișierul a fost armat cu generatorul de exploit RoyalRoad, care plasează încărcătorul intel.wll în folderul Word de pe computer. Încărcătorul încearcă să descarce următoarea etapă a infecției de pe spool.jtjewifyn[.]com și să o execute.

Aceasta nu ar fi prima dată când hackerii folosesc malware-ul RoyalRoad pentru a realiza livrarea finală. Alte grupuri ATP, cum ar fi Vicious Panda, folosesc și metoda de livrare RoyalRoad. De asemenea, Naikon a fost văzut folosind fișiere de arhivă care conțin fișiere legitime încărcate cu fișiere DLL rău intenționate. Această metodă profită de Outlook și de alte fișiere executabile legitime pentru a efectua un atac cibernetic asupra unei ținte. Naikon APT pare să fi devenit foarte priceput să se ascundă la vedere.

Încărcătorul de primă etapă al Naikon

Înainte ca RAT-ul Aria-body să fie implementat, încărcătorul din prima etapă efectuează o serie de sarcini pe sistemul infectat. Încărcătorul este responsabil pentru asigurarea persistenței pe computerul victimei, folosind adesea folderul Startup. Apoi, sarcina utilă se injectează într-un alt proces, cu câteva exemple de procese vizate fiind dllhost.exe și rundll32.exe. Încărcătorul își decriptează configurația și contactează C&C pentru a descărca încărcarea utilă a următoarei etape - RAT-ul Aria-body, care este apoi decriptat și încărcat.

Calea procesului Aria-corp al lui Naikon

O privire mai atentă asupra corpului Ariei

Recentele atacuri efectuate de Naikon au folosit din nou RAT personalizat cu corp Aria, probabil dezvoltat de APT în scopurile sale. Numele de fișier al încărcăturii utile este ceea ce cercetătorii au folosit pentru numele său - aria-body-dllx86.dll. RAT personalizat are funcționalitatea găsită în majoritatea celorlalte RAT-uri:

• manipularea fișierelor și directoarelor
• făcând capturi de ecran
• căutarea de fișiere
• lansarea fișierelor folosind funcția ShellExecute
• închiderea unei sesiuni TCP
• verificarea locației unui sistem victime, folosind serviciul Amazon „checkip”.

Cercetătorii au observat diferite exemple de Aria-body care aveau și unele dintre următoarele funcționalități:

• colectarea datelor USB
• înregistrator de taste
• proxy șosete inverse

Prima sarcină a lui Aria-body este să culege cât mai multe informații despre sistemul victimei. Detaliile colectate includ numele gazdei, numele de utilizator, versiunea sistemului de operare, frecvența procesorului, cheia MachineGUID și adresa IP publică. Porțiunea de date colectată este arhivată cu o parolă generată aleatoriu, care este apoi criptată.

RAT poate comunica cu serverele sale C&C folosind fie HTTP, fie TCP. Care dintre protocoale este utilizat este determinat de un steag în configurația încărctorului. Datele de sistem arhivate ale victimei sunt transferate la C&C împreună cu parola de arhivă criptată. După ce transferul este complet, RAT începe să asculte C&C pentru comenzile primite.