Найкон АПТ

Naikon — это название APT (Advanced Persistent Threat), которое, как полагают, происходит из Китая. Хакерская группа Naikon была впервые обнаружена более десяти лет назад, еще в 2010 году. Naikon APT попала в заголовки газет в 2015 году, когда исследователи вредоносных программ обнаружили инфраструктуру, используемую киберпреступниками. Благодаря этому разоблачению один из участников хакерской группы Naikon был пойман правоохранительными органами. После этой оплошности аналитики по кибербезопасности предположили, что Naikon APT прекратила свою деятельность. Тем не менее, хакерство группа Naikon имеет возродилась с Aria тела троян недавно - новая угроза , которая имеет множество функций.

Niakon атаковал попытку уклониться от обнаружения

Naikon APT — это хакерская группа, нацеленная на правительственных чиновников и учреждения. Большинство атак, проводимых хакерской группой Naikon, сосредоточены на Филиппинах, Вьетнаме, Индонезии, Мьянме, Брунее и Австралии. Большинство государственных учреждений, на которые нацелены киберпреступники из Naikon APT, обычно работают в сфере иностранных дел или в сфере науки и технологий. Сообщается, что некоторые предприятия и компании, принадлежащие государству, также стали мишенью Naikon APT.

Наблюдая за хакерским арсеналом Naikon APT, исследователи вредоносных программ пришли к выводу, что эти лица, как правило, проводят долгосрочные разведывательные и шпионские операции. Это очень характерно для хакерских групп, нацеленных на иностранные правительства и официальных лиц. Недавняя операция Naikon, в которой участвовал вышеупомянутый инструмент для взлома тела Aria, была нацелена на правительство Австралии. Целью трояна-бэкдора Aria-body был сбор данных и получение контроля над целевыми системами, связанными с правительством. Вполне вероятно, что после того, как в 2015 году был пойман один из членов Naikon APT, хакерская группа решила начать действовать более тихо, чтобы избежать обнаружения аналитиками вредоносного ПО. Это, вероятно, ввело экспертов в заблуждение, заставив их поверить в то, что хакерская группа Naikon ушла на пенсию.

Хакерская группа Naikon распространяет вредоносное ПО Aria-body через фишинговые электронные письма. Рассматриваемые электронные письма были созданы, чтобы не вызывать подозрений у цели. Поддельные электронные письма будут содержать поврежденное вложение, целью которого является использование уязвимости, обнаруженной в службе Microsoft Office.

Naikon получает новый спасательный круг для целевых атак

Несмотря на то, что Naikon оставался бездействующим в течение многих лет, а некоторые даже предполагали, что APT была распущена после подробного отчета о ее структуре за 2015 год, теперь она снова подняла голову.

Исследователи, работающие с Check Point, обнаружили, что последние несколько лет Naikon постоянно нацеливалась на один и тот же регион — страны и организации, расположенные в Азиатско-Тихоокеанском регионе. Территории, атакованные Naikon, включают Австралию, Индонезию, Вьетнам, Бруней, Таиланд и Мьянму. Основным инструментом, использовавшимся в этих атаках, был черный ход Naikon Aria-body и инструмент RAT.

В число организаций, ставших объектами недавних атак, входят правительственные министерства и корпорации, принадлежащие правительству соответствующей страны. Любопытное наблюдение заключается в том, что как только Naikon закрепляется на иностранном объекте, он использует его для дальнейшего распространения вредоносного ПО. Одним из таких примеров является иностранное посольство, которое использовалось для распространения вредоносного ПО правительству принимающей страны. Этот подход использует известные и надежные контакты в посольстве, что упрощает проникновение.

Во время недавней атаки полезная нагрузка Aria-body была доставлена через файл в формате Rich Text Format с именем «The Indian Way.doc». Файл был использован для использования определенных эксплойтов с помощью инструмента RoyalRoad. Когда файл в формате Rich Text Format открыт, он удаляет файл с именем «Intel.wll», который действует как загрузчик, пытающийся загрузить полезную нагрузку второго этапа из удаленного домена.

Эксперты считают, что целью атак Naikon является сбор разведданных и слежка за правительствами. Злоумышленники, стоящие за Naikon APT, могут получать доступ к файлам в зараженных системах и даже регистрировать нажатия клавиш и делать снимки экрана. Одна из причин, по которой APT так долго скрывалась от обнаружения своей недавней деятельности, заключалась в том, что Naikon использовала правительственные серверы, которые уже были скомпрометированы, в качестве своих пунктов управления и контроля.

Naikon APT, конечно, еще не повесил свои перчатки. Однако киберпреступники предприняли некоторые меры, чтобы оставаться вне поля зрения исследователей кибербезопасности.

Цели Naikon APT

Сравнение недавних атак с атаками, совершенными несколько лет назад, показывает, что Naikon APT продолжает атаковать одни и те же регионы. Как уже упоминалось, их целями пять лет назад были правительства стран Азиатско-Тихоокеанского региона, и их недавние атаки, похоже, делают то же самое.

Одна интересная вещь, которую следует отметить в отношении группы, заключается в том, что они постепенно расширяли свои позиции в различных правительствах. Группа делает это, запуская атаки одного взломанного правительства в попытке заразить другое правительство. Был один случай, когда иностранное посольство по незнанию отправило зараженные документы правительству страны пребывания. Этот инцидент показывает, насколько эффективно хакеры используют доверенные контакты для проникновения в новые цели и дальнейшего развития своей шпионской сети.

Учитывая возможности и цели Naikon APT, становится ясно, что целью атак является шпионаж за целевыми правительствами и сбор информации о них. Группа собирает определенные документы от своих целей в государственных ведомствах, а также захватывает данные со съемных носителей, собирает скриншоты зараженных компьютеров и использует украденные данные для шпионажа.

Если всего этого было недостаточно, Naikon APT доказал свою способность уклоняться от обнаружения при прохождении через правительственные сети. Группа делает это, компрометируя серверы в зараженном министерстве и используя эти компьютеры в качестве сервера управления и контроля для сбора и отправки украденных данных. Благодаря этому способу заражения их практически невозможно отследить. Это был один из способов, которым они смогли избежать обнаружения в течение пяти лет.

Цепь заражения Ария-тело

Исследования показывают, что у группы есть несколько различных способов заразить компьютеры с помощью Aria-Body. Расследование группы началось, когда исследователи обнаружили вредоносное электронное письмо, отправленное правительству штата Австралии правительственным посольством в регионе. Зараженный документ назывался «Путь индейцев» и представлял собой файл в формате RTF. Файл был оснащен сборщиком эксплойтов RoyalRoad, который помещает загрузчик intel.wll в папку Word на компьютере. Загрузчик пытается загрузить следующую стадию заражения с spool.jtjewifyn[.]com и выполнить ее.

Это не первый случай, когда хакеры используют вредоносное ПО RoyalRoad для окончательной доставки. Другие группы ATP, такие как Vicious Panda, также используют метод доставки RoyalRoad. Также было замечено, что Naikon использует архивные файлы, содержащие законные файлы, загруженные вредоносными DLL-файлами. Этот метод использует Outlook и другие законные исполняемые файлы для проведения кибератаки на цель. Naikon APT, похоже, научился хорошо прятаться на виду.

Загрузчик первой ступени Naikon

Перед развертыванием RAT Aria-body загрузчик первого этапа выполняет ряд задач в зараженной системе. Загрузчик отвечает за сохранение на компьютере жертвы, часто используя папку автозагрузки. Затем полезная нагрузка внедряется в другой процесс, например, целевыми процессами являются dllhost.exe и rundll32.exe. Загрузчик расшифровывает свою конфигурацию и связывается с C&C, чтобы загрузить полезную нагрузку следующего этапа — RAT Aria-body, которая затем расшифровывается и загружается.

Путь процесса Арии-тела Naikon

Пристальный взгляд на Арию-тело

В недавних атаках, проведенных Naikon, снова использовалась специальная RAT для тела Aria, вероятно, разработанная APT для своих целей. Имя файла полезной нагрузки — то, что исследователи использовали для его имени — aria-body-dllx86.dll. Пользовательская RAT имеет функциональные возможности, присущие большинству других RAT:

• манипулирование файлами и каталогами
• делать скриншоты
• поиск файлов
• запуск файлов с помощью функции ShellExecute
• закрытие сеанса TCP
• проверка местоположения системы-жертвы с помощью службы Amazon «checkip»

Исследователи обнаружили различные экземпляры Aria-тела, которые также обладали некоторыми из следующих функций:

• сбор данных USB
• регистратор нажатий клавиш
• обратный сокс-прокси

Первая задача Aria-body — собрать как можно больше информации о системе-жертве. Собранные данные включают имя хоста, имя пользователя, версию ОС, частоту ЦП, ключ MachineGUID и общедоступный IP-адрес. Собранный фрагмент данных заархивирован со случайно сгенерированным паролем, который затем шифруется.

RAT может связываться со своими C&C-серверами, используя либо HTTP, либо TCP. Какой из протоколов используется, определяется флагом в конфигурации загрузчика. Заархивированные системные данные жертвы передаются на C&C вместе с зашифрованным паролем архива. После завершения передачи RAT начинает прослушивать свой C&C для входящих команд.