Naikon APT

Naikon je názov APT (Advanced Persistent Threat), o ktorom sa predpokladá, že pochádza z Číny. Hackerská skupina Naikon bola prvýkrát spozorovaná pred viac ako desiatimi rokmi, v roku 2010. Naikon APT sa dostal na titulky v roku 2015, keď výskumníci škodlivého softvéru odhalili infraštruktúru používanú kybernetickými podvodníkmi. Vďaka tomuto odhaleniu chytili muži zákona jedného z členov hackerskej skupiny Naikon. Po tejto hádke analytici kybernetickej bezpečnosti predpokladali, že Naikon APT prestal fungovať. Hackerská skupina Naikon sa však nedávno opäť objavila s trójskym koňom Aria-body backdoor – novou hrozbou, ktorá má množstvo funkcií.

Niakon útočí na pokus vyhnúť sa detekcii

Naikon APT je hackerská skupina, ktorá sa zameriava na vládnych úradníkov a inštitúcie. Väčšina útokov hackerskej skupiny Naikon sa sústreďuje na Filipíny, Vietnam, Indonéziu, Mjanmarsko, Brunej a Austráliu. Väčšina vládnych inštitúcií, na ktoré sa kybernetický podvodníci z Naikon APT zameriavajú, zvyčajne pôsobí v sektore zahraničných vecí alebo vedecko-technickom priemysle. Naikon APT sa údajne stali terčom aj niektorých podnikov a spoločností, ktoré sú vo vlastníctve vlády.

Pri pozorovaní hackerského arzenálu Naikon APT výskumníci škodlivého softvéru dospeli k záveru, že títo jednotlivci majú tendenciu vykonávať dlhodobé prieskumné a špionážne operácie. To je veľmi typické pre hackerské skupiny, ktoré sa zameriavajú na zahraničné vlády a úradníkov. Nedávna operácia Naikon, ktorá zahŕňala spomínaný nástroj na hackovanie tela Aria, sa zamerala na austrálsku vládu. Cieľom Aria-body backdoor Trojan bolo zhromaždiť dáta a prevziať kontrolu nad cielenými vládnymi systémami. Je pravdepodobné, že po prichytení jedného z členov Naikon APT v roku 2015 sa hackerská skupina rozhodla začať pracovať tichšie, aby sa vyhla odhaleniu zo strany analytikov malvéru. To pravdepodobne zavádzalo odborníkov, aby verili, že hackerská skupina Naikon odišla do dôchodku.

Hackerská skupina Naikon šíri malvér Aria-body prostredníctvom spear-phishingových e-mailov. Príslušné e-maily boli vytvorené tak, aby sa vyhli podozreniu konkrétneho cieľa. Falošné e-maily by obsahovali poškodenú prílohu, ktorej cieľom je zneužiť zraniteľnosť, ktorú možno nájsť v službe Microsoft Office.

Naikon získava novú záchrannú líniu pre cielené útoky

Aj keď Naikon zostal roky zdanlivo nečinný a niektorí dokonca špekulovali, že APT bol rozpustený po podrobnej správe z roku 2015 o jeho štruktúre, teraz opäť postavil hlavu.

Výskumníci spolupracujúci s Check Point zistili, že Naikon strávil posledných niekoľko rokov nepretržitým zameraním sa na rovnaký región – krajiny a organizácie nachádzajúce sa v ázijsko-pacifickej oblasti. Územia napadnuté Naikonom zahŕňajú Austráliu, Indonéziu, Vietnam, Brunej, Thajsko a Mjanmarsko. Hlavným nástrojom použitým pri týchto útokoch boli zadné vrátka Aria a RAT od spoločnosti Naikon.

Medzi organizácie, ktorých cieľom boli nedávne útoky, patria vládne ministerstvá a korporácie vlastnené vládou príslušnej krajiny. Kurióznym postrehom je, že keď sa Naikon uchytí v cudzom subjekte, použije ho na ďalšie šírenie malvéru. Jedným z takýchto príkladov je zahraničné veľvyslanectvo, ktoré bolo použité na šírenie škodlivého softvéru vláde hostiteľskej krajiny. Tento prístup využíva známe a dôveryhodné kontakty v rámci veľvyslanectva, čo uľahčuje infiltráciu.

Pri nedávnom útoku bolo užitočné zaťaženie tela Aria doručené prostredníctvom súboru vo formáte Rich Text Format s názvom „The Indian Way.doc“. Súbor bol vyzbrojený na používanie určitých exploitov pomocou nástroja RoyalRoad. Po otvorení súboru Rich Text Format sa z neho vypustí súbor s názvom „Intel.wll“, ktorý funguje ako zavádzač, ktorý sa pokúša stiahnuť obsah druhej fázy zo vzdialenej domény.

Odborníci sa domnievajú, že účelom Naikonových útokov je zhromažďovanie spravodajských informácií a špehovanie vlád. Zlí herci za Naikon APT môžu pristupovať k súborom na infikovaných systémoch a dokonca zaznamenávať stlačenia klávesov a robiť snímky obrazovky. Jedným z dôvodov, prečo sa APT tak dlho vyhýbal detekcii svojich novších aktivít, bolo to, že Naikon používal vládne servery, ktoré už boli kompromitované, ako jeho veliteľské a kontrolné body.

Naikon APT určite ešte nezvesili rukavice. Kybernetickí podvodníci však prijali určité opatrenia, aby zostali pod radarom výskumníkov v oblasti kybernetickej bezpečnosti.

Ciele Naikon APT

Porovnanie nedávnych útokov s útokmi spred niekoľkých rokov ukazuje, že Naikon APT sa naďalej zameriava na rovnaké regióny. Ako už bolo spomenuté, medzi ich ciele pred piatimi rokmi patrili vlády v celom ázijsko-tichomorskom regióne a zdá sa, že ich nedávne útoky robili to isté.

Jedna zaujímavá vec, ktorú je potrebné poznamenať o skupine, je, že pomaly rozširuje svoje postavenie v rôznych vládach. Skupina to robí spustením útokov od jednej narušenej vlády v snahe nakaziť inú vládu. Vyskytol sa jeden prípad, keď zahraničné veľvyslanectvo nevedomky poslalo infikované dokumenty vláde hostiteľskej krajiny. Tento incident ukazuje, ako efektívne hackeri využívajú dôveryhodné kontakty na infiltráciu nových cieľov a ďalší rozvoj svojej špionážnej siete.

Vzhľadom na schopnosti a ciele Naikon APT je jasné, že účelom útokov je špehovať cieľové vlády a zhromažďovať o nich spravodajské informácie. Skupina zhromažďuje konkrétne dokumenty od svojich cieľov v rámci vládnych ministerstiev a tiež získava údaje z vymeniteľných diskov, zbiera snímky obrazoviek infikovaných počítačov a používa ukradnuté údaje na špionáž.

Ak to všetko nebolo dosť zlé, Naikon APT sa ukázal ako zručný v vyhýbaní sa detekcii pri prechode cez vládne siete. Skupina to robí kompromitovaním serverov v rámci infikovaného ministerstva a používa tieto počítače ako príkazový a riadiaci server na zhromažďovanie a odosielanie ukradnutých údajov. Vďaka tejto metóde infekcie je takmer nemožné ich vystopovať. To bol jeden zo spôsobov, ako sa im podarilo vyhnúť sa odhaleniu päť rokov.

Reťazec infekcie tela Aria

Výskum ukazuje, že skupina má niekoľko rôznych spôsobov, ako infikovať počítače Aria-Body. Vyšetrovanie tejto skupiny sa začalo, keď vedci zbadali škodlivý e-mail, ktorý vládne veľvyslanectvo v regióne poslalo vláde austrálskeho štátu. Infikovaný dokument sa volal „The Indians Way“ a bol to súbor RTF. Súbor bol vybavený nástrojom RoyalRoad exploit builder, ktorý spúšťa zavádzač intel.wll do priečinka Word v počítači. Zavádzač sa pokúsi stiahnuť ďalšiu fázu infekcie zo spool.jtjewifyn[.]com a spustiť ju.

Nebolo by to prvýkrát, čo hackeri použili malvér RoyalRoad na konečné doručenie. Iné skupiny ATP, ako napríklad Vicious Panda, tiež používajú metódu doručenia RoyalRoad. Naikon bol tiež videný pomocou archívnych súborov, ktoré obsahujú legitímne súbory načítané škodlivými súbormi DLL. Táto metóda využíva Outlook a ďalšie legitímne spustiteľné súbory na uskutočnenie kybernetického útoku na cieľ. Zdá sa, že Naikon APT sa stal veľmi zdatným v skrývaní sa na očiach.

Prvostupňový nakladač Naikon

Pred nasadením Aria-body RAT vykoná prvá fáza zavádzača množstvo úloh na infikovanom systéme. Zavádzač je zodpovedný za zabezpečenie pretrvávania na počítači obete, často pomocou priečinka Po spustení. Potom sa užitočné zaťaženie vloží do iného procesu, pričom niektoré príklady cieľových procesov sú dllhost.exe a rundll32.exe. Zavádzač dešifruje svoju konfiguráciu a kontaktuje C&C, aby stiahol užitočné zaťaženie ďalšej fázy – Aria-body RAT, ktoré sa potom dešifruje a načíta.

Naikonova cesta procesu árie tela

Bližší pohľad na telo Arie

Nedávne útoky uskutočnené Naikonom opäť použili vlastný RAT tela Aria, ktorý na svoje účely pravdepodobne vyvinul APT. Názov súboru užitočného obsahu je to, čo výskumníci použili pre jeho názov - aria-body-dllx86.dll. Vlastná RAT má funkcie, ktoré nájdete vo väčšine ostatných RAT:

• manipuláciu so súbormi a adresármi
• vytváranie snímok obrazovky
• vyhľadávanie súborov
• spúšťanie súborov pomocou funkcie ShellExecute
• zatvorenie relácie TCP
• kontrola polohy systému obete pomocou služby „checkip“ spoločnosti Amazon

Výskumníci si všimli rôzne prípady tela Aria, ktoré mali aj niektoré z nasledujúcich funkcií:

• zhromažďovanie údajov USB
• zapisovač stlačených klávesov
• reverzné ponožky proxy

Prvou úlohou Aria-body je zoškrabať čo najviac informácií o systéme obete. Zhromaždené podrobnosti zahŕňajú názov hostiteľa, používateľské meno, verziu operačného systému, frekvenciu procesora, kľúč MachineGUID a verejnú IP adresu. Zhromaždený kus údajov je zazipovaný náhodne vygenerovaným heslom, ktoré je potom zašifrované.

RAT môže komunikovať so svojimi C&C servermi pomocou HTTP alebo TCP. Ktorý z protokolov sa použije, je určený príznakom v konfigurácii zavádzača. Zazipované systémové údaje obete sa prenesú do C&C spolu so zašifrovaným heslom archívu. Po dokončení prenosu začne RAT počúvať svoje C&C pre prichádzajúce príkazy.