Naikon APT

Naikon är namnet på en APT (Advanced Persistent Threat) som tros härstamma från Kina. Naikon-hackningsgruppen upptäcktes för första gången för över ett decennium sedan, redan 2010. Naikon APT skapade rubriker 2015 när infrastrukturen som användes av cyberskurkarna avslöjades av skadlig programvara. Tack vare denna exposé greps en av medlemmarna i Naikons hackningsgrupp av polisen. Efter detta missförstånd antog cybersäkerhetsanalytiker att Naikon APT hade gått i konkurs. Men Naikon-hackningsgruppen har nyligen återuppstått med Aria-body- bakdörrstrojanen – ett nytt hot som har en mängd funktioner.

Niakon attackerar försök att undvika upptäckt

Naikon APT är en hackergrupp som tenderar att rikta sig mot regeringstjänstemän och institutioner. De flesta av attackerna som utförs av hackningsgruppen Naikon är koncentrerade till Filippinerna, Vietnam, Indonesien, Myanmar, Brunei och Australien. De flesta av de statliga institutionerna som riktas mot cyberskurkarna från Naikon APT verkar vanligtvis inom utrikessektorn eller vetenskaps- och teknikindustrin. Vissa företag och företag, som är statligt ägda, har enligt uppgift också blivit måltavla av Naikon APT.

Efter att ha observerat Naikon APT:s hackarsenal har skadlig programvara dragit slutsatsen att dessa individer tenderar att utföra långvariga spanings- och spionageoperationer. Detta är mycket typiskt för hackergrupper som riktar sig till utländska regeringar och tjänstemän. Den nyligen genomförda Naikon-operationen som involverade det tidigare nämnda Aria-kroppshackningsverktyget riktade sig mot den australiensiska regeringen. Målet med bakdörrstrojanen Aria-body var att samla in data och ta kontroll över de riktade regeringskopplade systemen. Det är troligt att efter att en av medlemmarna i Naikon APT fångades tillbaka 2015, beslutade hackergruppen att börja arbeta tystare för att undvika upptäckt av skadlig kodanalytiker. Detta vilseledde sannolikt experterna att tro att Naikons hackergrupp har gått i pension.

Naikon-hackningsgruppen sprider skadlig kod från Aria-kroppen via e-post med spjutfiske. E-postmeddelandena i fråga skapades för att undvika att väcka misstankar i målet specifikt. De falska e-postmeddelandena skulle innehålla en skadad bilaga vars mål är att utnyttja en sårbarhet som kan hittas i Microsoft Office-tjänsten.

Naikon får en ny livlina för riktade attacker

Även om Naikon förblev till synes vilande i flera år och vissa till och med spekulerade i att APT har upplösts efter en detaljerad rapport från 2015 om dess struktur, har den nu återigen lyft upp huvudet.

Forskare som arbetade med Check Point upptäckte att Naikon ägnat de senaste åren kontinuerligt åt samma region – länder och organisationer i Asien och Stillahavsområdet. Territorier som attackerats av Naikon inkluderar Australien, Indonesien, Vietnam, Brunei, Thailand och Myanmar. Det främsta verktyget som användes i dessa attacker var Naikons Aria-body-bakdörr och RAT-verktyg.

Organisationerna som riktas mot de senaste attackerna inkluderar regeringsministerier och företag som ägs av respektive lands regering. En märklig observation är att när Naikon väl har fått fotfäste i en utländsk enhet, använder den den för att ytterligare sprida skadlig programvara. Ett sådant exempel är en utländsk ambassad som användes för att sprida skadlig programvara till värdlandets regering. Detta tillvägagångssätt använder kända och pålitliga kontakter inom ambassaden, vilket gör infiltrationen lättare.

I en nyligen genomförd attack levererades Aria-kroppens nyttolast genom en fil med Rich Text Format med namnet "The Indian Way.doc". Filen var beväpnad för att använda vissa exploateringar med hjälp av verktyget RoyalRoad. När Rich Text Format-filen har öppnats släpper den en fil med namnet "Intel.wll", som fungerar som en laddare som försöker ladda ner andra stegets nyttolast från en fjärrdomän.

Experter tror att syftet med Naikons attacker är att samla in underrättelser och spionera på regeringar. De dåliga aktörerna bakom Naikon APT kan komma åt filer på infekterade system och till och med logga tangenttryckningar och ta skärmdumpar. En del av anledningen till att APT undvek upptäckt av sina nyare aktiviteter så länge var att Naikon använde regeringsservrar som redan var komprometterade som dess kommando- och kontrollpunkter.

Naikon APT har inte hängt upp handskarna ännu, absolut. Cyberskurkarna har dock vidtagit vissa åtgärder för att hålla sig under cybersäkerhetsforskarnas radar.

Naikon APT-mål

Att jämföra de senaste attackerna med de från flera år sedan visar att Naikon APT fortsätter att rikta sig mot samma regioner. Som nämnts inkluderade deras mål för fem år sedan regeringar över hela Asien-Stillahavsområdet, och deras senaste attacker verkar göra detsamma.

En intressant sak att notera om gruppen är att de sakta har utökat sitt fotfäste i olika regeringar. Gruppen gör detta genom att starta attacker från en bruten regering i ett försök att infektera en annan regering. Det fanns ett fall där en utländsk ambassad omedvetet skickade infekterade dokument till värdlandets regering. Denna incident visar hur effektivt hackarna utnyttjar betrodda kontakter för att infiltrera nya mål och vidareutveckla sitt spionagenätverk.

Med tanke på Naikon APT:s kapacitet och mål blir det tydligt att syftet bakom attackerna är att spionera på målregeringarna och samla in underrättelser om dem. Gruppen samlar in specifika dokument från sina mål inom regeringsdepartement, och tar även tag i data från flyttbara enheter, samlar in skärmdumpar av infekterade datorer och använder stulna data för spionage.

Om allt detta inte var tillräckligt illa, har Naikon APT visat sig vara skickligt på att undvika upptäckt när de passerar genom statliga nätverk. Gruppen gör detta genom att kompromissa med servrar inom ett infekterat departement och använda dessa datorer som en kommando- och kontrollserver för att samla in och skicka stulna data. Det är nästan omöjligt att spåra dem tack vare denna infektionsmetod. Detta var ett av sätten att de kunde undvika upptäckt i fem år.

Aria-kroppsinfektionskedjan

Forskning visar att gruppen har flera olika sätt att infektera datorer med Aria-Body. Utredningen av gruppen startade när forskare upptäckte ett skadligt e-postmeddelande som skickats till den australiska delstatsregeringen av en regeringsambassad i regionen. Det infekterade dokumentet kallades "The Indians Way" och var en RTF-fil. Filen vapeniserades med RoyalRoad exploit-byggaren, som släpper intel.wll-laddaren i Word-mappen på datorn. Laddaren försöker ladda ner nästa steg av infektion från spool.jtjewifyn[.]com och köra det.

Detta skulle inte vara första gången som hackare har använt RoyalRoad malware för att göra den slutliga leveransen. Andra ATP-grupper, som Vicious Panda, använder också leveransmetoden RoyalRoad. Naikon har också setts använda arkivfiler som innehåller legitima filer laddade med skadliga DLL-filer. Den här metoden drar fördel av Outlook och andra legitima körbara filer för att utföra en cyberattack mot ett mål. Naikon APT verkar ha blivit väldigt skicklig på att gömma sig i sikte.

Naikons förstastegslastare

Innan Aria-body RAT distribueras, utför förstastegets loader ett antal uppgifter på det infekterade systemet. Lastaren är ansvarig för att säkerställa uthållighet på offrets maskin, ofta med hjälp av Startup-mappen. Sedan injicerar nyttolasten sig själv i en annan process, med några exempel på målinriktade processer som dllhost.exe och rundll32.exe. Laddaren dekrypterar sin konfiguration och kontaktar C&C för att ladda ner nästa nyttolast - Aria-body RAT, som sedan dekrypteras och laddas.

Naikons Aria-body Process Path

En närmare titt på Aria-kroppen

De senaste attackerna utförda av Naikon använde återigen Aria-body custom RAT, troligen utvecklad av APT för dess syften. Filnamnet på nyttolasten är vad forskare använde för dess namn - aria-body-dllx86.dll. Den anpassade RAT har den funktionalitet som finns i de flesta andra RAT:er:

• manipulering av filer och kataloger
• ta skärmdumpar
• söker efter filer
• starta filer med ShellExecute-funktionen
• avsluta en TCP-session
• kontrollerar ett offersystems plats med hjälp av Amazons "checkip"-tjänst

Forskare har upptäckt olika instanser av Aria-kropp som också hade några av följande funktioner:

• samla in USB-data
• tangenttryckningslogger
• omvända strumpor proxy

Aria-bodys första uppgift är att skrapa så mycket information om offersystemet som möjligt. Uppgifter som samlas in inkluderar värdnamn, användarnamn, OS-version, CPU-frekvens, MachineGUID-nyckel och offentlig IP-adress. Den insamlade biten av data zippas med ett slumpmässigt genererat lösenord som sedan krypteras.

RAT kan kommunicera med sina C&C-servrar med antingen HTTP eller TCP. Vilket av protokollen som används bestäms av en flagga i laddarens konfiguration. Offrets zippade systemdata överförs till C&C tillsammans med det krypterade arkivlösenordet. När överföringen är klar börjar RAT lyssna på sin C&C för inkommande kommandon.