Наикон АПТ

наикон апт Наикон је назив АПТ (Адванцед Персистент Тхреат) за који се верује да потиче из Кине. Хакерска група Наикон је први пут примећена пре више од једне деценије, далеке 2010. Наикон АПТ је доспео на насловне стране 2015. када су истраживачи малвера открили инфраструктуру коју користе сајбер преваранти. Захваљујући овом разоткривању, један од чланова хакерске групе Наикон је ухваћен од стране органа реда. Након овог гафа, аналитичари за сајбер безбедност претпоставили су да је Наикон АПТ престао са радом. Међутим, хакерска група Наикон се недавно поново појавила са Ариа-боди бацкдоор тројанцем – новом претњом која има мноштво функција.

Ниакон напада покушај да избегне откривање

Наикон АПТ је хакерска група која има тенденцију да циља владине званичнике и институције. Већина напада које је извршила хакерска група Наикон концентрисана је на Филипинима, Вијетнаму, Индонезији, Мјанмару, Брунеју и Аустралији. Већина владиних институција на мети сајбер лопова из Наикон АПТ-а обично ради у сектору спољних послова или индустрији науке и технологије. Нека предузећа и компаније, које су у државном власништву, наводно су такође биле на мети Наикон АПТ-а.

Посматрајући хакерски арсенал Наикон АПТ-а, истраживачи малвера су закључили да ови појединци имају тенденцију да спроводе дугорочне извиђачке и шпијунске операције. Ово је веома типично за хакерске групе које циљају на стране владе и званичнике. Недавна операција Наикон која је укључивала горе поменути алат за хаковање Ариа-боди циљала је аустралијску владу. Циљ Ариа-боди бацкдоор тројанца је био да прикупи податке и преузме контролу над циљаним системима повезаним са владом. Вероватно је да је након што је један од чланова Наикон АПТ-а ухваћен 2015. године, хакерска група одлучила да почне да ради тише како би избегла откривање од стране аналитичара малвера. Ово је вероватно заварало стручњаке да верују да се хакерска група Наикон повукла.

Хакерска група Наикон пропагира злонамерни софтвер Ариа-боди путем е-поште за крађу идентитета. Дотични имејлови су направљени како би се избегло изазивање сумње у мету. Лажни мејлови би садржали оштећени прилог чији је циљ да се искористи рањивост која се може пронаћи у услузи Мицрософт Оффице.

Наикон добија нови спас за циљане нападе

Иако је Наикон годинама био наизглед успаван, а неки су чак спекулисали да је АПТ распуштен након детаљног извештаја о његовој структури из 2015. године, сада је поново подигао главу.

Истраживачи који раде са Цхецк Поинт-ом открили су да је Наикон провео последњих неколико година непрекидно циљајући исти регион – земље и организације које се налазе у азијско-пацифичком региону. Територије које је Наикон напао укључују Аустралију, Индонезију, Вијетнам, Брунеј, Тајланд и Мјанмар. Главно оруђе коришћено у тим нападима било је Наикон-ово Ариа-боди бацкдоор и РАТ алат.

Организације на мети недавних напада укључују владина министарства и корпорације у власништву владе дотичне земље. Занимљиво запажање је да када Наикон стекне упориште у страном ентитету, онда га користи за даље ширење злонамерног софтвера. Један такав пример је страна амбасада која је коришћена за ширење злонамерног софтвера влади земље домаћина. Овај приступ користи познате и поуздане контакте унутар амбасаде, што чини инфилтрацију лакшом.

У недавном нападу, Ариа-боди корисни терет је испоручен преко датотеке формата богатог текста под називом „Тхе Индиан Ваи.доц“. Датотека је била наоружана да користи одређене експлоатације помоћу алата РоиалРоад. Једном када се отвори датотека формата обогаћеног текста, она испушта датотеку под називом „Интел.влл“, која делује као учитавач који покушава да преузме корисни терет друге фазе са удаљеног домена.

Стручњаци верују да је сврха Наиконових напада прикупљање обавештајних података и шпијунирање влада. Лоши актери који стоје иза Наикон АПТ-а могу да приступе датотекама на зараженим системима, па чак и да евидентирају притиске на тастере и праве снимке екрана. Део разлога зашто је АПТ тако дуго избегавао откривање својих новијих активности је тај што је Наикон користио владине сервере који су већ били компромитовани као своје командне и контролне тачке.

Наикон АПТ, свакако, још увек није окачио рукавице. Међутим, сајбер лопови су предузели неке мере да остану испод радара истраживача сајбер безбедности.

Наикон АПТ мете

Упоређивање недавних напада са нападима од пре неколико година показује да Наикон АПТ наставља да циља исте регионе. Као што је поменуто, њихове мете пре пет година укључивале су владе широм азијско-пацифичког региона, а чини се да њихови недавни напади чине исто.

Једна занимљива ствар коју треба приметити у вези са овом групом је да су они полако ширили своје упориште у различитим владама. Група то чини тако што покреће нападе једне кршене владе у покушају да зарази другу владу. Био је један случај када је страна амбасада несвесно послала заражене документе влади земље домаћина. Овај инцидент показује колико ефикасно хакери искоришћавају поверљиве контакте да би се инфилтрирали на нове мете и даље развијали своју мрежу шпијунаже.

С обзиром на могућности и мете Наикон АПТ-а, постаје јасно да је сврха напада шпијунирање циљаних влада и прикупљање обавештајних података о њима. Група прикупља специфичне документе од својих мета унутар владиних одељења, а такође хвата податке са преносивих дискова, прикупља снимке екрана заражених рачунара и користи украдене податке за шпијунажу.

Ако све то није било довољно лоше, Наикон АПТ се показао вештим у избегавању откривања приликом проласка кроз владине мреже. Група то ради тако што компромитује сервере унутар зараженог министарства и користи те рачунаре као командни и контролни сервер за прикупљање и слање украдених података. Скоро је немогуће ући у траг захваљујући овој методи инфекције. Ово је био један од начина на који су успели да избегну откривање пет година.

Ланац инфекција Ариа-Боди

Истраживање показује да група има неколико различитих начина да зарази рачунаре Ариа-Боди-ом. Истрага о групи почела је када су истраживачи уочили злонамерни мејл који је влади Аустралије послала владина амбасада у региону. Заражени документ се звао "Тхе Индианс Ваи" и био је РТФ фајл. Датотека је била наоружана програмом за прављење експлоатације РоиалРоад, који испушта интел.влл учитавач у Ворд фасциклу на рачунару. Учитавач покушава да преузме следећу фазу инфекције са споол.јтјевифин[.]цом и да је изврши.

Ово не би био први пут да хакери користе малвер РоиалРоад да изврше коначну испоруку. Друге АТП групе, као што је Вициоус Панда, такође користе РоиалРоад метод испоруке. Такође је примећено да Наикон користи архивске датотеке које садрже легитимне датотеке учитане злонамерним ДЛЛ датотекама. Овај метод користи предност Оутлоока и других легитимних извршних датотека за спровођење сајбер-напада на мету. Чини се да је Наикон АПТ постао веома вешт у скривању на видику.

Наиконов утоваривач прве фазе

Пре него што се Ариа-боди РАТ примени, учитавач прве фазе обавља низ задатака на зараженом систему. Учитавач је одговоран за обезбеђивање постојаности на машини жртве, често користећи фасциклу за покретање. Затим се корисни терет убризгава у други процес, са неким примерима циљаних процеса дллхост.еке и рундлл32.еке. Учитавач дешифрује своју конфигурацију и контактира Ц&Ц да преузме следећи степен корисног оптерећења - Ариа-боди РАТ, који се затим дешифрује и учитава.

наикон апт процесни пут
Наиконов пут процеса Ариа-боди

Ближи поглед на Арија-тело

Недавни напади које је извео Наикон поново су користили прилагођени РАТ Арије тела, који је вероватно развио АПТ за своје потребе. Назив датотеке корисног учитавања је оно што су истраживачи користили за његово име - ариа-боди-дллк86.длл. Прилагођени РАТ има функционалност која се налази у већини других РАТ-ова:

  • манипулација датотекама и директоријумима
  • прављење снимака екрана
  • тражење датотека
  • покретање датотека помоћу функције СхеллЕкецуте
  • затварање ТЦП сесије
  • провера локације система жртве, користећи Амазонову услугу 'цхецкип'

Истраживачи су уочили различите примере Ариа тела које су такође имале неке од следећих функционалности:

  • прикупљање УСБ података
  • тастер за бележење притиска
  • реверсе соцкс проки

Први задатак Ариа-тела је да прикупи што више информација о систему жртве. Прикупљени детаљи укључују име хоста, корисничко име, верзију ОС-а, фреквенцију процесора, МацхинеГУИД кључ и јавну ИП адресу. Прикупљени комад података се компримује помоћу насумично генерисане лозинке која се затим шифрује.

РАТ може да комуницира са својим Ц&Ц серверима користећи ХТТП или ТЦП. Који од протокола се користи одређује се заставицом у конфигурацији учитавача. Системски подаци зиповани жртве се преносе у Ц&Ц заједно са шифрованом лозинком за архиву. Након што је трансфер завршен, РАТ почиње да слуша своје Ц&Ц за долазне команде.

У тренду

Најгледанији

Учитавање...