Naikon APT

Naikon je ime APT (Advanced Persistent Threat), za katerega se domneva, da izvira iz Kitajske. Hekersko skupino Naikon so prvič opazili pred več kot desetletjem, leta 2010. Naikon APT je bil na naslovnicah leta 2015, ko so raziskovalci zlonamerne programske opreme odkrili infrastrukturo, ki so jo uporabljali kibernetski prevaranti. Zaradi tega razkritja so organi pregona ujeli enega od članov hekerske skupine Naikon. Po tej napaki so analitiki za kibernetsko varnost domnevali, da je Naikon APT prenehal poslovati. Vendar pa se je hekerska skupina Naikon pred kratkim ponovno pojavila s trojanskim programom Aria body – novo grožnjo, ki ima številne funkcije.

Niakon napadi poskušajo izogniti odkrivanju

Naikon APT je hekerska skupina, ki cilja na vladne uradnike in institucije. Večina napadov, ki jih izvaja hekerska skupina Naikon, je skoncentrirana na Filipinih, v Vietnamu, Indoneziji, Mjanmaru, Bruneju in Avstraliji. Večina vladnih institucij, ki so tarče kibernetskih prevarantov iz Naikon APT, običajno deluje v sektorju zunanjih zadev ali v industriji znanosti in tehnologije. Naikon APT naj bi bila tarča tudi nekaterih podjetij in podjetij, ki so v državni lasti.

Ob opazovanju hekerskega arzenala Naikon APT so raziskovalci zlonamerne programske opreme ugotovili, da so ti posamezniki nagnjeni k dolgotrajnim izvidniškim in vohunskim operacijam. To je zelo značilno za hekerske skupine, ki ciljajo na tuje vlade in uradnike. Nedavna operacija Naikon, ki je vključevala že omenjeno orodje za vdiranje v telo Aria, je bila usmerjena na avstralsko vlado. Cilj zalednega trojanca Aria-body je bil zbrati podatke in prevzeti nadzor nad ciljnimi sistemi, povezanimi z vlado. Verjetno je, da se je hekerska skupina po tem, ko je bil leta 2015 ujet eden od članov Naikon APT, odločila, da bo začela delovati bolj tiho, da bi se izognila odkrivanju s strani analitikov zlonamerne programske opreme. To je verjetno zavedlo strokovnjake, da so verjeli, da se je hekerska skupina Naikon upokojila.

Hekerska skupina Naikon širi zlonamerno programsko opremo Aria-body prek e-poštnih sporočil z lažnim predstavljanjem. Zadevna e-poštna sporočila so bila oblikovana, da bi se izognili sumom v tarči. Lažna e-poštna sporočila bi vsebovala poškodovano prilogo, katere cilj je izkoristiti ranljivost, ki jo je mogoče najti v storitvi Microsoft Office.

Naikon dobi novo rešilno vrv za ciljno usmerjene napade

Čeprav je Naikon ostal navidezno mirujoč že leta in nekateri so celo špekulirali, da je bil APT razpuščen po podrobnem poročilu o njegovi strukturi iz leta 2015, se je zdaj spet dvignil na glavo.

Raziskovalci, ki so sodelovali s Check Pointom, so odkrili, da je Naikon zadnjih nekaj let neprekinjeno ciljal na isto regijo – države in organizacije v azijsko-pacifiški regiji. Ozemlja, ki jih je napadel Naikon, vključujejo Avstralijo, Indonezijo, Vietnam, Brunej, Tajsko in Mjanmar. Glavno orodje, uporabljeno v teh napadih, je bilo Naikonovo zakulisje Aria-body in orodje RAT.

Organizacije, ki so bile tarče novejših napadov, vključujejo vladna ministrstva in korporacije v lasti vlade posamezne države. Zanimivo opažanje je, da ko se Naikon uveljavi v tujem subjektu, ga nato uporabi za nadaljnje širjenje zlonamerne programske opreme. Eden takšnih primerov je tuje veleposlaništvo, ki je bilo uporabljeno za širjenje zlonamerne programske opreme vladi svoje države gostiteljice. Ta pristop uporablja znane in zaupanja vredne stike znotraj veleposlaništva, kar olajša infiltracijo.

V nedavnem napadu je bil tovor Aria-body dostavljen prek datoteke z obogatenim besedilom z imenom "The Indian Way.doc". Datoteka je bila orožje za uporabo določenih podvigov z orodjem RoyalRoad. Ko je datoteka obogatenega besedila odprta, spusti datoteko z imenom "Intel.wll", ki deluje kot nalagalnik, ki poskuša prenesti koristno obremenitev druge stopnje iz oddaljene domene.

Strokovnjaki menijo, da je namen Naikonovih napadov zbiranje obveščevalnih podatkov in vohunjenje vlad. Slabi akterji, ki stojijo za Naikon APT, lahko dostopajo do datotek na okuženih sistemih in celo beležijo pritiske tipk in naredijo posnetke zaslona. Del razloga, zakaj se je APT tako dolgo izogibal odkrivanju svojih novejših dejavnosti, je bil, da je Naikon kot svoje ukazne in nadzorne točke uporabljal vladne strežnike, ki so bili že ogroženi.

Naikon APT zagotovo še ni obesil rokavic. Vendar so kibernetski prevaranti sprejeli nekaj ukrepov, da bi ostali pod radarjem raziskovalcev kibernetske varnosti.

Cilji Naikon APT

Primerjava nedavnih napadov s tistimi izpred nekaj let kaže, da Naikon APT še naprej cilja na iste regije. Kot že omenjeno, so njihove tarče pred petimi leti vključevale vlade po vsej azijsko-pacifiški regiji in zdi se, da njihovi nedavni napadi storijo enako.

Zanimiva stvar, ki jo je treba omeniti glede skupine, je, da počasi širijo svoje oporo v različnih vladah. Skupina to počne tako, da sproži napade ene kršene vlade, da bi okužila drugo vlado. Bil je en primer, ko je tuje veleposlaništvo nevede poslalo okužene dokumente vladi svoje države gostiteljice. Ta incident kaže, kako učinkovito hekerji izkoriščajo zaupanja vredne stike za infiltriranje v nove cilje in nadaljnje razvijanje svoje mreže vohunjenja.

Glede na zmogljivosti in cilje Naikon APT postane jasno, da je namen napadov vohuniti za ciljnimi vladami in zbirati obveščevalne podatke o njih. Skupina zbira posebne dokumente od svojih ciljev znotraj vladnih služb, zajema pa tudi podatke z izmenljivih pogonov, zbira posnetke zaslona okuženih računalnikov in ukradene podatke uporablja za vohunjenje.

Če vse to ni bilo dovolj slabo, se je Naikon APT izkazal za spretnega pri izogibanju zaznavanju, ko gre skozi vladna omrežja. Skupina to stori tako, da ogrozi strežnike znotraj okuženega ministrstva in te računalnike uporablja kot ukazni in nadzorni strežnik za zbiranje in pošiljanje ukradenih podatkov. Zahvaljujoč tej metodi okužbe jih je skoraj nemogoče izslediti. To je bil eden od načinov, kako so se pet let lahko izognili odkrivanju.

Okužbena veriga Aria-telesa

Raziskave kažejo, da ima skupina več različnih načinov za okužbo računalnikov z Aria-Body. Preiskava skupine se je začela, ko so raziskovalci opazili zlonamerno e-pošto, ki jo je avstralski državni vladi poslalo vladno veleposlaništvo v regiji. Okuženi dokument se je imenoval "The Indians Way" in je bila datoteka RTF. Datoteka je bila oborožena z ustvarjalnikom izkoriščanja RoyalRoad, ki spusti nalagalnik intel.wll v mapo Word na računalniku. Nalagalnik poskuša prenesti naslednjo stopnjo okužbe s spool.jtjewifyn[.]com in jo izvesti.

To ne bi bilo prvič, da so hekerji uporabili zlonamerno programsko opremo RoyalRoad za končno dostavo. Druge skupine ATP, kot je Vicious Panda, uporabljajo tudi način dostave RoyalRoad. Naikon je bil opažen tudi pri uporabi arhivskih datotek, ki vsebujejo zakonite datoteke, naložene z zlonamernimi datotekami DLL. Ta metoda izkorišča Outlook in druge zakonite izvedljive datoteke za izvajanje kibernetskega napada na cilj. Zdi se, da je Naikon APT postal zelo spreten pri skrivanju na očeh.

Naikonov prvostopenjski nakladalnik

Preden se razporedi Aria-body RAT, nalagalnik prve stopnje izvede številne naloge na okuženem sistemu. Nalagalnik je odgovoren za zagotavljanje obstojnosti na žrtvinem stroju, pogosto z uporabo zagonske mape. Nato se koristna obremenitev vbrizga v drug proces, pri čemer sta nekateri primeri ciljnih procesov dllhost.exe in rundll32.exe. Nalagalnik dešifrira svojo konfiguracijo in se obrne na C&C, da prenese naslednjo stopnjo koristnega tovora - Aria-body RAT, ki se nato dešifrira in naloži.

Naikonova procesna pot Aria-telesa

Podrobnejši pogled na Aria-body

Nedavni napadi, ki jih je izvedel Naikon, so ponovno uporabili RAT po meri Aria body, ki ga je verjetno razvil APT za svoje namene. Ime datoteke koristnega tovora je tisto, kar so raziskovalci uporabili za njegovo ime - aria-body-dllx86.dll. RAT po meri ima funkcionalnost, ki jo najdemo v večini drugih RAT:

• manipulacija datotek in imenikov
• ustvarjanje posnetkov zaslona
• iskanje datotek
• zagon datotek s funkcijo ShellExecute
• zapiranje seje TCP
• preverjanje lokacije sistema žrtve z uporabo Amazonove storitve 'checkip'

Raziskovalci so opazili različne primere telesa Aria, ki so imeli tudi nekatere od naslednjih funkcij:

• zbiranje podatkov USB
• zapisovalnik pritiskov tipk
• povratne nogavice proxy

Prva naloga Aria-body je pobrati čim več informacij o sistemu žrtve. Zbrani podatki vključujejo ime gostitelja, uporabniško ime, različico OS, frekvenco CPE, ključ MachineGUID in javni naslov IP. Zbrani kos podatkov se stisne z naključno ustvarjenim geslom, ki se nato šifrira.

RAT lahko komunicira s svojimi strežniki C&C z uporabo HTTP ali TCP. Kateri od protokolov se uporablja, je določeno z zastavico v konfiguraciji nalagalnika. Sistemski podatki žrtve stisnjeni se prenesejo v C&C skupaj s šifriranim arhivskim geslom. Ko je prenos končan, začne RAT poslušati svoj C&C za dohodne ukaze.