Naikon APT

Naikon është emri i një APT (Kërcënimi i Përparuar i Përparuar) që besohet se e ka origjinën nga Kina. Grupi i hakerëve Naikon u zbulua për herë të parë më shumë se një dekadë më parë, në vitin 2010. Naikon APT u bë tituj në vitin 2015 kur infrastruktura e përdorur nga mashtruesit kibernetikë u zbulua nga studiuesit e malware. Falë këtij ekspozimi, një nga anëtarët e grupit të hakerëve Naikon u kap nga forcat e rendit. Pas kësaj gafe, analistët e sigurisë kibernetike supozuan se Naikon APT kishte dalë nga puna. Megjithatë, grupi Naikon thatë është rishfaqur me Aria-trup backdoor trojan kohët e fundit - një kërcënim të ri që ka një numër të karakteristika.

Niakon sulmon përpjekjet për t'iu shmangur zbulimit

Naikon APT është një grup hakerimi që tenton të synojë zyrtarët dhe institucionet qeveritare. Shumica e sulmeve të kryera nga grupi i hakerëve Naikon janë të përqendruara në Filipine, Vietnam, Indonezi, Myanmar, Brunei dhe Australi. Shumica e institucioneve qeveritare të shënjestruara nga mashtruesit kibernetikë nga Naikon APT zakonisht operojnë në sektorin e punëve të jashtme ose në industrinë e shkencës dhe teknologjisë. Disa biznese dhe kompani, të cilat janë në pronësi të qeverisë, thuhet se janë shënjestruar gjithashtu nga Naikon APT.

Duke vëzhguar arsenalin e hakerave të Naikon APT, studiuesit e malware kanë arritur në përfundimin se këta individë priren të kryejnë operacione afatgjata zbulimi dhe spiunazhi. Kjo është shumë tipike për grupet e hakerave që synojnë qeveritë dhe zyrtarët e huaj. Operacioni i fundit i Naikon që përfshiu mjetin e lartpërmendur të hakerimit të trupit Aria synoi qeverinë australiane. Qëllimi i Trojanit të pasme të Aria-body ishte të mblidhte të dhëna dhe të merrte kontrollin e sistemeve të synuara të lidhura me qeverinë. Ka të ngjarë që pasi një nga anëtarët e Naikon APT u kap në vitin 2015, grupi i hakerëve vendosi të fillojë të veprojë në heshtje për të shmangur zbulimin nga analistët e malware. Kjo ka të ngjarë të mashtrojë ekspertët për të besuar se grupi i hakerëve Naikon ka dalë në pension.

Grupi i hakerëve Naikon përhap malware-in Aria-body nëpërmjet email-eve spear-phishing. Email-et në fjalë u krijuan për të shmangur dyshimin për objektivin. Emailet e rreme do të përmbajnë një shtojcë të korruptuar, qëllimi i të cilit është të shfrytëzojë një dobësi që mund të gjendet në shërbimin Microsoft Office.

Naikon merr një linjë të re shpëtimi për sulme të synuara

Edhe pse Naikon mbeti në dukje i fjetur për vite dhe disa madje spekulonin se APT ishte shpërbërë pas një raporti të detajuar të vitit 2015 mbi strukturën e tij, ai tani ka ngritur sërish kokën.

Studiuesit që punojnë me Check Point zbuluan se Naikon kaloi vitet e fundit duke synuar vazhdimisht të njëjtin rajon – vende dhe organizata të vendosura në rajonin e Azisë Paqësorit. Territoret e sulmuara nga Naikon përfshijnë Australinë, Indonezinë, Vietnamin, Brunein, Tajlandën dhe Mianmarin. Mjeti kryesor i përdorur në ato sulme ishte dera e pasme e trupit Aria dhe mjeti RAT i Naikon.

Organizatat e shënjestruara në sulmet më të fundit përfshijnë ministritë qeveritare dhe korporatat në pronësi të qeverisë së vendit përkatës. Një vëzhgim kurioz është se sapo Naikon fiton një terren në një ent të huaj, më pas e përdor atë për të përhapur më tej malware. Një shembull i tillë është një ambasadë e huaj që është përdorur për të përhapur malware në qeverinë e vendit pritës. Kjo qasje përdor kontakte të njohura dhe të besueshme brenda ambasadës, gjë që e bën më të lehtë infiltrimin.

Në një sulm të fundit, ngarkesa e trupit të Aria u dorëzua përmes një skedari të Formatit të Tekstit të Pasur të quajtur "The Indian Way.doc". Skedari u armatos për të përdorur shfrytëzime të caktuara duke përdorur mjetin RoyalRoad . Pasi të hapet skedari Rich Text Format, ai lëshon një skedar të quajtur "Intel.wll", i cili vepron si një ngarkues që përpiqet të shkarkojë ngarkesën e fazës së dytë nga një domen në distancë.

Ekspertët besojnë se qëllimi i sulmeve të Naikon është mbledhja e inteligjencës dhe spiunimi i qeverive. Aktorët e këqij pas Naikon APT mund të qasen në skedarë në sisteme të infektuara dhe madje të regjistrojnë goditjet e tastave dhe të marrin pamje nga ekrani. Një pjesë e arsyes pse APT shmangu zbulimin e aktiviteteve të saj më të fundit për kaq gjatë ishte se Naikon përdorte serverë qeveritarë që ishin tashmë të rrezikuar si pika komandimi dhe kontrolli.

Naikon APT nuk i ka varur ende dorezat, sigurisht. Megjithatë, mashtruesit kibernetikë kanë marrë disa masa për të mbetur nën radarin e studiuesve të sigurisë kibernetike.

Synimet e Naikon APT

Krahasimi i sulmeve të fundit me ato të disa viteve më parë tregon se Naikon APT vazhdon të synojë të njëjtat rajone. Siç u përmend, objektivat e tyre pesë vjet më parë përfshinin qeveritë në të gjithë rajonin e Azisë-Paqësorit dhe sulmet e tyre të fundit duket se bëjnë të njëjtën gjë.

Një gjë interesante për t'u theksuar në lidhje me grupin është se ata kanë qenë ngadalë duke zgjeruar terrenin e tyre në qeveri të ndryshme. Grupi e bën këtë duke nisur sulme nga një qeveri e shkelur në një përpjekje për të infektuar një qeveri tjetër. Kishte një rast kur një ambasadë e huaj dërgoi pa e ditur dokumente të infektuara qeverisë së vendit pritës. Ky incident tregon se sa efektivisht hakerët po shfrytëzojnë kontaktet e besuara për të depërtuar në objektiva të rinj dhe për të zhvilluar më tej rrjetin e tyre të spiunazhit.

Duke pasur parasysh aftësitë dhe objektivat e Naikon APT, bëhet e qartë se qëllimi pas sulmeve është të spiunojë qeveritë e synuara dhe të mbledhë informacione mbi to. Grupi po mbledh dokumente specifike nga objektivat e tyre brenda departamenteve qeveritare, si dhe po rrëmben të dhëna nga disqet e lëvizshme, po mbledh pamjet e ekranit të kompjuterëve të infektuar dhe po përdor të dhënat e vjedhura për spiunazh.

Nëse e gjithë kjo nuk ishte mjaft e keqe, Naikon APT është dëshmuar se është i aftë në shmangien e zbulimit kur kalon nëpër rrjetet qeveritare. Grupi e bën këtë duke kompromentuar serverët brenda një ministrie të infektuar dhe duke përdorur ata kompjuterë si një server komandimi dhe kontrolli për të mbledhur dhe dërguar të dhënat e vjedhura. Është pothuajse e pamundur t'i gjurmosh ato falë kësaj metode infeksioni. Kjo ishte një nga mënyrat që ata mundën të shmangnin zbulimin për pesë vjet.

Zinxhiri i Infeksionit Aria-Trup

Hulumtimet tregojnë se grupi ka disa mënyra të ndryshme për të infektuar kompjuterët me Aria-Body. Hetimi për grupin filloi kur studiuesit vunë re një email me qëllim të keq dërguar qeverisë së shtetit Australian nga një ambasadë qeveritare në rajon. Dokumenti i infektuar quhej "The Indians Way" dhe ishte një skedar RTF. Skedari u armatos me ndërtuesin e shfrytëzimit RoyalRoad, i cili lëshon ngarkuesin intel.wll në dosjen Word në kompjuter. Ngarkuesi përpiqet të shkarkojë fazën tjetër të infeksionit nga spool.jtjewifyn[.]com dhe ta ekzekutojë atë.

Kjo nuk do të ishte hera e parë që hakerët kanë përdorur malware RoyalRoad për të bërë dorëzimin përfundimtar. Grupe të tjera ATP, si Vicious Panda, përdorin gjithashtu metodën e shpërndarjes RoyalRoad. Naikon është parë gjithashtu duke përdorur skedarë arkivorë që përmbajnë skedarë legjitimë të ngarkuar me skedarë me qëllim të keq DLL. Kjo metodë përfiton nga Outlook dhe skedarë të tjerë të ligjshëm të ekzekutueshëm për të kryer një sulm kibernetik mbi një objektiv. Naikon APT duket se është bërë shumë i aftë për t'u fshehur në pamje të qartë.

Ngarkuesi i Fazës së Parë të Naikon

Përpara se të vendoset Aria-body RAT, ngarkuesi i fazës së parë kryen një sërë detyrash në sistemin e infektuar. Ngarkuesi është përgjegjës për sigurimin e qëndrueshmërisë në makinën e viktimës, shpesh duke përdorur dosjen Startup. Më pas ngarkesa injektohet në një proces tjetër, me disa shembuj të proceseve të synuara që janë dllhost.exe dhe rundll32.exe. Ngarkuesi deshifron konfigurimin e tij dhe kontakton C&C për të shkarkuar ngarkesën e fazës tjetër - Aria-body RAT, i cili më pas deshifrohet dhe ngarkohet.

Rruga e procesit të trupit Aria të Naikon-it

Një vështrim më i afërt në trupin e Aria-s

Sulmet e fundit të kryera nga Naikon përdorën edhe një herë Aria-body custom RAT, me gjasë të zhvilluar nga APT për qëllimet e tij. Emri i skedarit të ngarkesës është ajo që studiuesit përdorën për emrin e saj - aria-body-dllx86.dll. RAT me porosi ka funksionalitetin që gjendet në shumicën e RAT-ve të tjerë:

• manipulimi i skedarëve dhe drejtorive
• duke marrë pamje nga ekrani
• duke kërkuar për skedarë
• nisja e skedarëve duke përdorur funksionin ShellExecute
• mbyllja e një sesioni TCP
• duke kontrolluar vendndodhjen e sistemit të viktimës, duke përdorur shërbimin 'checkip' të Amazon

Studiuesit kanë vërejtur raste të ndryshme të trupit Aria që kishin gjithashtu disa nga funksionet e mëposhtme:

• mbledhja e të dhënave USB
• regjistër me tastierë
• prokurë e kundërt çorape

Detyra e parë e Aria-body është të grumbullojë sa më shumë informacion në lidhje me sistemin e viktimës. Detajet e mbledhura përfshijnë emrin e hostit, emrin e përdoruesit, versionin e OS, frekuencën e CPU, çelësin MachineGUID dhe adresën IP publike. Pjesa e mbledhur e të dhënave mbyllet me një fjalëkalim të krijuar rastësisht, i cili më pas kodohet.

RAT mund të komunikojë me serverët e tij C&C duke përdorur ose HTTP ose TCP. Cili nga protokollet përdoret përcaktohet nga një flamur në konfigurimin e ngarkuesit. Të dhënat e sistemit të zipped të viktimës transferohen në C&C së bashku me fjalëkalimin e koduar të arkivit. Pas përfundimit të transferimit, RAT fillon të dëgjojë C&C-në e tij për komandat hyrëse.