நாயகன் APT

Naikon என்பது சீனாவில் இருந்து தோன்றியதாக நம்பப்படும் APT (மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல்) இன் பெயர். Naikon ஹேக்கிங் குழு முதன்முதலில் ஒரு தசாப்தத்திற்கு முன்பு, 2010 இல் கண்டுபிடிக்கப்பட்டது. 2015 இல் Naikon APT ஆனது, சைபர் மோசடி செய்பவர்கள் பயன்படுத்திய உள்கட்டமைப்பு தீம்பொருள் ஆராய்ச்சியாளர்களால் கண்டறியப்பட்டபோது தலைப்புச் செய்திகளை உருவாக்கியது. இந்த அம்பலத்திற்கு நன்றி, நாய்கான் ஹேக்கிங் குழுவின் உறுப்பினர்களில் ஒருவர் சட்ட அமலாக்கத்தால் பிடிபட்டார். இந்த குழப்பத்திற்குப் பிறகு, சைபர் பாதுகாப்பு ஆய்வாளர்கள் Naikon APT வணிகத்திலிருந்து வெளியேறிவிட்டதாகக் கருதினர். இருப்பினும், Naikon ஹேக்கிங் குழு சமீபத்தில் Aria-body backdoor Trojan உடன் மீண்டும் தோன்றியுள்ளது - இது பல அம்சங்களைக் கொண்ட புதிய அச்சுறுத்தலாகும்.

கண்டறிதலைத் தவிர்ப்பதற்கான முயற்சியை நியாகான் தாக்குகிறார்

Naikon APT என்பது அரசு அதிகாரிகள் மற்றும் நிறுவனங்களை குறிவைக்கும் ஒரு ஹேக்கிங் குழுவாகும். Naikon ஹேக்கிங் குழுவால் நடத்தப்பட்ட பெரும்பாலான தாக்குதல்கள் பிலிப்பைன்ஸ், வியட்நாம், இந்தோனேசியா, மியான்மர், புருனே மற்றும் ஆஸ்திரேலியாவில் குவிந்துள்ளன. Naikon APT இன் இணைய வஞ்சகர்களால் குறிவைக்கப்பட்ட பெரும்பாலான அரசு நிறுவனங்கள் பொதுவாக வெளியுறவுத் துறை அல்லது அறிவியல் மற்றும் தொழில்நுட்பத் துறையில் செயல்படுகின்றன. அரசாங்கத்திற்குச் சொந்தமான சில வணிகங்கள் மற்றும் நிறுவனங்கள், Naikon APT ஆல் குறிவைக்கப்பட்டதாகவும் கூறப்படுகிறது.

Naikon APT இன் ஹேக்கிங் ஆயுதக் களஞ்சியத்தை அவதானித்த தீம்பொருள் ஆராய்ச்சியாளர்கள், இந்த நபர்கள் நீண்ட கால உளவு மற்றும் உளவு நடவடிக்கைகளை மேற்கொள்வதாக முடிவு செய்துள்ளனர். வெளிநாட்டு அரசாங்கங்கள் மற்றும் அதிகாரிகளை குறிவைக்கும் ஹேக்கிங் குழுக்களுக்கு இது மிகவும் பொதுவானது. மேற்கூறிய Aria-பாடி ஹேக்கிங் கருவியை உள்ளடக்கிய சமீபத்திய Naikon நடவடிக்கை ஆஸ்திரேலிய அரசாங்கத்தை குறிவைத்தது. ஏரியா-பாடி பின்கதவு ட்ரோஜனின் குறிக்கோள், தரவுகளைச் சேகரித்து, இலக்கு வைக்கப்பட்ட அரசாங்க-இணைக்கப்பட்ட அமைப்புகளின் கட்டுப்பாட்டை ஏற்றுக்கொள்வது. Naikon APT இன் உறுப்பினர்களில் ஒருவர் 2015 இல் மீண்டும் பிடிபட்ட பிறகு, தீம்பொருள் ஆய்வாளர்களால் கண்டறியப்படுவதைத் தவிர்ப்பதற்காக ஹேக்கிங் குழு இன்னும் அமைதியாக செயல்படத் தொடங்க முடிவு செய்திருக்கலாம். இது நாயகன் ஹேக்கிங் குழு ஓய்வு பெற்றுவிட்டதாக நிபுணர்களை தவறாக நம்ப வைக்கும்.

Naikon ஹேக்கிங் குழு ஸ்பியர்-ஃபிஷிங் மின்னஞ்சல்கள் மூலம் Aria-பாடி தீம்பொருளைப் பரப்புகிறது. கேள்விக்குரிய மின்னஞ்சல்கள் இலக்கில் குறிப்பாக சந்தேகத்தை எழுப்புவதைத் தவிர்ப்பதற்காக வடிவமைக்கப்பட்டுள்ளன. மைக்ரோசாஃப்ட் ஆஃபீஸ் சேவையில் காணப்படும் பாதிப்பைப் பயன்படுத்திக் கொள்வதே அதன் இலக்காகக் கொண்ட சிதைந்த இணைப்பைப் போலி மின்னஞ்சல்கள் கொண்டிருக்கும்.

இலக்கு தாக்குதல்களுக்கான புதிய உயிர்நாடியை நாய்கான் பெறுகிறார்

Naikon பல ஆண்டுகளாக செயலற்ற நிலையில் இருந்தபோதிலும், APT அதன் அமைப்பு குறித்த விரிவான 2015 அறிக்கையைத் தொடர்ந்து APT கலைக்கப்பட்டுள்ளது என்று சிலர் ஊகித்துக்கொண்டிருந்தாலும், அது இப்போது மீண்டும் தலை தூக்கியுள்ளது.

செக் பாயிண்டில் பணிபுரியும் ஆராய்ச்சியாளர்கள், நைகான் கடந்த சில ஆண்டுகளாக தொடர்ந்து அதே பிராந்தியத்தை குறிவைத்து செலவிட்டார் - ஆசிய பசிபிக் பிராந்தியத்தில் அமைந்துள்ள நாடுகள் மற்றும் அமைப்புகளை குறிவைத்துள்ளார். ஆஸ்திரேலியா, இந்தோனேசியா, வியட்நாம், புருனே, தாய்லாந்து மற்றும் மியான்மர் ஆகியவை நாய்கோனால் தாக்கப்பட்ட பிரதேசங்களாகும். அந்த தாக்குதல்களில் பயன்படுத்தப்பட்ட முக்கிய கருவி நைகோனின் ஏரியா-பாடி பின்கதவு மற்றும் RAT கருவி ஆகும்.

சமீபத்திய தாக்குதல்களில் குறிவைக்கப்பட்ட அமைப்புகளில் அரசாங்க அமைச்சகங்கள் மற்றும் அந்தந்த நாட்டின் அரசாங்கத்திற்கு சொந்தமான நிறுவனங்களும் அடங்கும். ஒரு ஆர்வமான அவதானிப்பு என்னவென்றால், நாய்கான் ஒரு வெளிநாட்டு நிறுவனத்தில் காலூன்றியதும், அது தீம்பொருளை மேலும் பரப்புவதற்கு அதைப் பயன்படுத்துகிறது. அத்தகைய ஒரு உதாரணம் ஒரு வெளிநாட்டு தூதரகம், அதன் ஹோஸ்ட் நாட்டின் அரசாங்கத்திற்கு தீம்பொருளைப் பரப்ப பயன்படுத்தப்பட்டது. இந்த அணுகுமுறை தூதரகத்திற்குள் தெரிந்த மற்றும் நம்பகமான தொடர்புகளைப் பயன்படுத்துகிறது, இது ஊடுருவலை எளிதாக்குகிறது.

சமீபத்திய தாக்குதலில், "The Indian Way.doc" என்ற ரிச் டெக்ஸ்ட் ஃபார்மேட் கோப்பு மூலம் ஏரியா-பாடி பேலோட் டெலிவரி செய்யப்பட்டது. RoyalRoad கருவியைப் பயன்படுத்தி சில சுரண்டல்களைப் பயன்படுத்த கோப்பு ஆயுதமாக்கப்பட்டது. ரிச் டெக்ஸ்ட் ஃபார்மேட் கோப்பு திறக்கப்பட்டதும், அது "Intel.wll" என்ற பெயரில் ஒரு கோப்பைக் கைவிடுகிறது, இது ரிமோட் டொமைனில் இருந்து இரண்டாம் நிலை பேலோடைப் பதிவிறக்க முயற்சிக்கும் ஏற்றியாகச் செயல்படுகிறது.

நாயக்கனின் தாக்குதல்களின் நோக்கம் உளவுத் தகவல்களைச் சேகரிப்பது மற்றும் அரசாங்கங்களை உளவு பார்ப்பது என்று நிபுணர்கள் நம்புகின்றனர். Naikon APTக்கு பின்னால் உள்ள மோசமான நடிகர்கள் பாதிக்கப்பட்ட கணினிகளில் உள்ள கோப்புகளை அணுகலாம் மற்றும் விசை அழுத்தங்களை பதிவுசெய்து ஸ்கிரீன்ஷாட்களை எடுக்கலாம். APT தனது சமீபத்திய செயல்பாடுகளைக் கண்டறிவதில் இருந்து நீண்ட காலமாகத் தவிர்த்ததற்கான ஒரு காரணம், Naikon ஏற்கனவே சமரசம் செய்யப்பட்ட அரசாங்க சேவையகங்களை அதன் கட்டளை மற்றும் கட்டுப்பாட்டு புள்ளிகளாகப் பயன்படுத்தியது.

Naikon APT இன்னும் தங்கள் கையுறைகளைத் தொங்கவிடவில்லை, நிச்சயமாக. இருப்பினும், சைபர் மோசடி செய்பவர்கள் இணைய பாதுகாப்பு ஆராய்ச்சியாளர்களின் ரேடாரின் கீழ் இருக்க சில நடவடிக்கைகளை எடுத்துள்ளனர்.

Naikon APT இலக்குகள்

பல ஆண்டுகளுக்கு முந்தைய தாக்குதல்களுடன் சமீபத்திய தாக்குதல்களை ஒப்பிடுகையில், Naikon APT தொடர்ந்து அதே பகுதிகளை குறிவைக்கிறது என்பதைக் காட்டுகிறது. குறிப்பிட்டுள்ளபடி, ஐந்து ஆண்டுகளுக்கு முன்பு அவர்களின் இலக்குகள் ஆசிய-பசிபிக் பிராந்தியத்தில் உள்ள அரசாங்கங்களை உள்ளடக்கியது, மேலும் அவர்களின் சமீபத்திய தாக்குதல்களும் அதையே செய்வதாகத் தெரிகிறது.

குழுவைப் பற்றி கவனிக்க வேண்டிய ஒரு சுவாரஸ்யமான விஷயம் என்னவென்றால், அவர்கள் பல்வேறு அரசாங்கங்களில் தங்கள் காலடியை மெதுவாக விரிவுபடுத்தி வருகின்றனர். ஒரு மீறப்பட்ட அரசாங்கத்திலிருந்து மற்றொரு அரசாங்கத்தை பாதிக்கும் முயற்சியில் தாக்குதல்களை நடத்துவதன் மூலம் குழு இதைச் செய்கிறது. ஒரு வெளிநாட்டு தூதரகம் அறியாமல் பாதிக்கப்பட்ட ஆவணங்களை அதன் புரவலன் நாட்டின் அரசாங்கத்திற்கு அனுப்பிய ஒரு வழக்கு இருந்தது. நம்பகமான தொடர்புகளை ஹேக்கர்கள் எவ்வளவு திறம்பட பயன்படுத்தி புதிய இலக்குகளை ஊடுருவி தங்கள் உளவு வலையமைப்பை மேலும் மேம்படுத்துகிறார்கள் என்பதை இந்த சம்பவம் காட்டுகிறது.

Naikon APT-ன் திறன்கள் மற்றும் இலக்குகளைப் பார்க்கும்போது, தாக்குதல்களின் பின்னணியில் இலக்கு அரசாங்கங்களை உளவு பார்ப்பது மற்றும் அவர்கள் மீதான உளவுத்துறையை சேகரிப்பது என்பது தெளிவாகிறது. குழுவானது அரசாங்கத் துறைகளுக்குள் தங்கள் இலக்குகளிலிருந்து குறிப்பிட்ட ஆவணங்களைச் சேகரித்து வருகிறது, மேலும் நீக்கக்கூடிய டிரைவ்களில் இருந்து தரவைப் பிடுங்குகிறது, பாதிக்கப்பட்ட கணினிகளின் ஸ்கிரீன்ஷாட்களை சேகரிக்கிறது மற்றும் உளவு பார்க்க திருடப்பட்ட தரவைப் பயன்படுத்துகிறது.

இவை அனைத்தும் போதுமானதாக இல்லை என்றால், அரசாங்க நெட்வொர்க்குகள் வழியாகச் செல்லும்போது கண்டறிதலைத் தவிர்ப்பதில் Naikon APT திறமையானதாக நிரூபிக்கப்பட்டுள்ளது. பாதிக்கப்பட்ட அமைச்சகத்திற்குள் உள்ள சேவையகங்களை சமரசம் செய்வதன் மூலம் குழு இதைச் செய்கிறது மற்றும் திருடப்பட்ட தரவைச் சேகரித்து அனுப்புவதற்கு அந்தக் கணினிகளை கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகமாகப் பயன்படுத்துகிறது. இந்த தொற்று முறைக்கு நன்றி அவர்களைக் கண்டுபிடிப்பது கிட்டத்தட்ட சாத்தியமற்றது. ஐந்து வருடங்கள் கண்டறிதலைத் தவிர்க்க முடிந்த வழிகளில் இதுவும் ஒன்றாகும்.

ஏரியா-உடல் தொற்று சங்கிலி

ஏரியா-உடலுடன் கணினிகளை பாதிக்க பல்வேறு வழிகள் குழுவிற்கு இருப்பதாக ஆராய்ச்சி காட்டுகிறது. பிராந்தியத்தில் உள்ள அரசாங்க தூதரகத்தால் ஆஸ்திரேலிய மாநில அரசாங்கத்திற்கு அனுப்பப்பட்ட தீங்கிழைக்கும் மின்னஞ்சலை ஆராய்ச்சியாளர்கள் கண்டறிந்தபோது குழு மீதான விசாரணை தொடங்கியது. பாதிக்கப்பட்ட ஆவணம் "தி இந்தியன்ஸ் வே" என்று அழைக்கப்பட்டது மற்றும் RTF கோப்பு. இந்த கோப்பு RoyalRoad exploit builder மூலம் ஆயுதமாக்கப்பட்டது, இது intel.wll லோடரை கணினியில் உள்ள வேர்ட் கோப்புறையில் இறக்குகிறது. ஏற்றி அடுத்த கட்ட நோய்த்தொற்றை spool.jtjewifyn[.]com இலிருந்து பதிவிறக்கம் செய்து அதைச் செயல்படுத்த முயற்சிக்கிறது.

ராயல் ரோட் மால்வேரை ஹேக்கர்கள் பயன்படுத்தி இறுதி டெலிவரி செய்வது இதுவே முதல் முறை அல்ல. Vicious Panda போன்ற பிற ATP குழுக்களும் RoyalRoad டெலிவரி முறையைப் பயன்படுத்துகின்றன. தீங்கிழைக்கும் DLL கோப்புகள் ஏற்றப்பட்ட முறையான கோப்புகளைக் கொண்ட காப்பகக் கோப்புகளையும் Naikon பயன்படுத்துகிறது. இந்த முறை அவுட்லுக் மற்றும் பிற முறையான இயங்கக்கூடிய கோப்புகளைப் பயன்படுத்தி ஒரு இலக்கின் மீது சைபர் தாக்குதலை நடத்துகிறது. Naikon APT வெற்றுப் பார்வையில் ஒளிந்து கொள்வதில் மிகவும் திறமையானவராகத் தெரிகிறது.

நாய்கோனின் முதல் நிலை ஏற்றி

Aria-body RAT பயன்படுத்தப்படுவதற்கு முன், முதல்-நிலை ஏற்றி பாதிக்கப்பட்ட கணினியில் பல பணிகளைச் செய்கிறது. பெரும்பாலும் ஸ்டார்ட்அப் கோப்புறையைப் பயன்படுத்தி, பாதிக்கப்பட்டவரின் கணினியில் நிலைத்திருப்பதை உறுதிசெய்வதற்கு ஏற்றி பொறுப்பு. பின்னர் பேலோட் தன்னை மற்றொரு செயல்முறையில் செலுத்துகிறது, இலக்கு செயல்முறைகளின் சில எடுத்துக்காட்டுகள் dllhost.exe மற்றும் rundll32.exe ஆகும். ஏற்றி அதன் உள்ளமைவை டிக்ரிப்ட் செய்து, அடுத்த கட்ட பேலோடை பதிவிறக்குவதற்கு C&C ஐ தொடர்பு கொள்கிறது - Aria-பாடி RAT, பின்னர் மறைகுறியாக்கப்பட்டு ஏற்றப்படும்.

நாய்கோனின் ஏரியா-உடல் செயல்முறை பாதை

ஏரியா-உடலில் ஒரு நெருக்கமான பார்வை

Naikon ஆல் நடத்தப்பட்ட சமீபத்திய தாக்குதல்கள் மீண்டும் Aria-body custom RAT ஐப் பயன்படுத்தியது, இது APT ஆல் அதன் நோக்கங்களுக்காக உருவாக்கப்பட்டது. பேலோடின் கோப்புப் பெயரை ஆராய்ச்சியாளர்கள் அதன் பெயருக்குப் பயன்படுத்தினர் - aria-body-dllx86.dll. தனிப்பயன் RAT ஆனது மற்ற பெரும்பாலான RAT களில் காணப்படும் செயல்பாட்டைக் கொண்டுள்ளது:

• கோப்புகள் மற்றும் கோப்பகங்களை கையாளுதல்
• திரைக்காட்சிகளை எடுக்கிறது
• கோப்புகளைத் தேடுகிறது
• ShellExecute செயல்பாட்டைப் பயன்படுத்தி கோப்புகளைத் தொடங்குதல்
• ஒரு TCP அமர்வை மூடுகிறது
• அமேசானின் 'செக்கிப்' சேவையைப் பயன்படுத்தி பாதிக்கப்பட்ட அமைப்பின் இருப்பிடத்தைச் சரிபார்க்கிறது

பின்வரும் செயல்பாடுகளில் சிலவற்றைக் கொண்ட ஏரியா-உடலின் வெவ்வேறு நிகழ்வுகளை ஆராய்ச்சியாளர்கள் கண்டறிந்துள்ளனர்:

• USB தரவு சேகரிக்கிறது
• விசை அழுத்த லாகர்
• தலைகீழ் சாக்ஸ் ப்ராக்ஸி

ஏரியா-உடலின் முதல் பணி பாதிக்கப்பட்ட அமைப்பைப் பற்றிய தகவல்களை முடிந்தவரை அகற்றுவது. சேகரிக்கப்பட்ட விவரங்களில் ஹோஸ்ட் பெயர், பயனர்பெயர், OS பதிப்பு, CPU அதிர்வெண், MachineGUID விசை மற்றும் பொது IP முகவரி ஆகியவை அடங்கும். சேகரிக்கப்பட்ட தரவுத் துண்டானது தோராயமாக உருவாக்கப்பட்ட கடவுச்சொல்லுடன் ஜிப் செய்யப்பட்டு பின்னர் குறியாக்கம் செய்யப்படுகிறது.

RAT ஆனது HTTP அல்லது TCP ஐப் பயன்படுத்தி அதன் C&C சேவையகங்களுடன் தொடர்பு கொள்ளலாம். எந்த நெறிமுறைகள் பயன்படுத்தப்படுகின்றன என்பது ஏற்றியின் கட்டமைப்பில் உள்ள கொடியால் தீர்மானிக்கப்படுகிறது. பாதிக்கப்பட்ட ஜிப் செய்யப்பட்ட கணினி தரவு, மறைகுறியாக்கப்பட்ட காப்பக கடவுச்சொல்லுடன் C&Cக்கு மாற்றப்படும். பரிமாற்றம் முடிந்ததும், RAT ஆனது உள்வரும் கட்டளைகளுக்கான C&Cயை கேட்கத் தொடங்குகிறது.