నాయకన్ APT

నైకాన్ అనేది APT (అధునాతన పెర్సిస్టెంట్ థ్రెట్) పేరు, ఇది చైనా నుండి ఉద్భవించిందని నమ్ముతారు. Naikon హ్యాకింగ్ సమూహం మొదటిసారిగా ఒక దశాబ్దం క్రితం, తిరిగి 2010లో గుర్తించబడింది. 2015లో సైబర్ క్రూక్స్ ఉపయోగించిన మౌలిక సదుపాయాలను మాల్వేర్ పరిశోధకులు వెలికితీసినప్పుడు Naikon APT ముఖ్యాంశాలు చేసింది. ఈ బహిర్గతం కారణంగా, నైకాన్ హ్యాకింగ్ గ్రూప్ సభ్యులలో ఒకరు చట్ట అమలుచేత పట్టబడ్డారు. ఈ గాఫ్ తర్వాత, సైబర్ సెక్యూరిటీ విశ్లేషకులు Naikon APT వ్యాపారం నుండి బయటపడిందని భావించారు. అయితే, Naikon హ్యాకింగ్ గ్రూప్ ఇటీవలే Aria-బాడీ బ్యాక్‌డోర్ ట్రోజన్‌తో మళ్లీ పుంజుకుంది - ఇది అనేక లక్షణాలను కలిగి ఉన్న కొత్త ముప్పు.

నియాకాన్ డిటెక్షన్ నుండి తప్పించుకునే ప్రయత్నాన్ని అటాక్స్ చేసింది

Naikon APT అనేది ప్రభుత్వ అధికారులు మరియు సంస్థలను లక్ష్యంగా చేసుకునే హ్యాకింగ్ గ్రూప్. నైకాన్ హ్యాకింగ్ గ్రూప్ చేసిన దాడుల్లో ఎక్కువ భాగం ఫిలిప్పీన్స్, వియత్నాం, ఇండోనేషియా, మయన్మార్, బ్రూనై మరియు ఆస్ట్రేలియాలో కేంద్రీకృతమై ఉన్నాయి. నైకాన్ APT నుండి సైబర్ క్రూక్స్ లక్ష్యంగా చేసుకున్న చాలా ప్రభుత్వ సంస్థలు సాధారణంగా విదేశీ వ్యవహారాల రంగం లేదా సైన్స్ అండ్ టెక్నాలజీ పరిశ్రమలో పనిచేస్తాయి. ప్రభుత్వ ఆధీనంలో ఉన్న కొన్ని వ్యాపారాలు మరియు కంపెనీలు కూడా Naikon APT ద్వారా లక్ష్యంగా చేసుకున్నట్లు నివేదించబడింది.

Naikon APT యొక్క హ్యాకింగ్ ఆర్సెనల్‌ను గమనిస్తూ, మాల్వేర్ పరిశోధకులు ఈ వ్యక్తులు దీర్ఘకాలిక నిఘా మరియు గూఢచర్య కార్యకలాపాలను నిర్వహిస్తారని నిర్ధారించారు. విదేశీ ప్రభుత్వాలు మరియు అధికారులను లక్ష్యంగా చేసుకునే హ్యాకింగ్ సమూహాలకు ఇది చాలా విలక్షణమైనది. పైన పేర్కొన్న ఏరియా-బాడీ హ్యాకింగ్ సాధనం పాల్గొన్న ఇటీవలి నైకాన్ ఆపరేషన్ ఆస్ట్రేలియా ప్రభుత్వాన్ని లక్ష్యంగా చేసుకుంది. అరియా-బాడీ బ్యాక్‌డోర్ ట్రోజన్ యొక్క లక్ష్యం డేటాను సేకరించడం మరియు లక్ష్యంగా ఉన్న ప్రభుత్వ-అనుసంధాన వ్యవస్థల నియంత్రణను చేపట్టడం. Naikon APT సభ్యుల్లో ఒకరు 2015లో తిరిగి పట్టుబడిన తర్వాత, మాల్వేర్ విశ్లేషకులచే గుర్తించబడకుండా ఉండటానికి హ్యాకింగ్ గ్రూప్ మరింత నిశ్శబ్దంగా పనిచేయడం ప్రారంభించాలని నిర్ణయించుకుంది. ఇది నైకాన్ హ్యాకింగ్ గ్రూప్ రిటైర్ అయిందని నిపుణులను తప్పుదారి పట్టించే అవకాశం ఉంది.

Naikon హ్యాకింగ్ గ్రూప్ స్పియర్-ఫిషింగ్ ఇమెయిల్స్ ద్వారా Aria-బాడీ మాల్వేర్‌ను ప్రచారం చేస్తుంది. సందేహాస్పద ఇమెయిల్‌లు ప్రత్యేకంగా లక్ష్యంపై అనుమానం రాకుండా రూపొందించబడ్డాయి. నకిలీ ఇమెయిల్‌లు పాడైన అటాచ్‌మెంట్‌ను కలిగి ఉంటాయి, దీని లక్ష్యం మైక్రోసాఫ్ట్ ఆఫీస్ సేవలో కనుగొనబడే దుర్బలత్వాన్ని ఉపయోగించుకోవడం.

నైకోన్ టార్గెటెడ్ అటాక్స్ కోసం కొత్త లైఫ్‌లైన్‌ని పొందాడు

Naikon సంవత్సరాల తరబడి నిద్రాణంగా ఉన్నప్పటికీ మరియు APT దాని నిర్మాణంపై వివరణాత్మక 2015 నివేదికను అనుసరించి రద్దు చేయబడిందని కొందరు ఊహాగానాలు చేస్తున్నప్పటికీ, అది ఇప్పుడు మరోసారి తల ఎత్తింది.

ఆసియా పసిఫిక్ ప్రాంతంలో ఉన్న దేశాలు మరియు సంస్థలను - అదే ప్రాంతాన్ని లక్ష్యంగా చేసుకుని నైకాన్ గత కొన్ని సంవత్సరాలుగా నిరంతరం గడిపినట్లు చెక్ పాయింట్‌తో పనిచేస్తున్న పరిశోధకులు కనుగొన్నారు. నైకాన్ దాడి చేసిన భూభాగాలలో ఆస్ట్రేలియా, ఇండోనేషియా, వియత్నాం, బ్రూనై, థాయిలాండ్ మరియు మయన్మార్ ఉన్నాయి. ఆ దాడులలో ఉపయోగించిన ప్రధాన సాధనం నైకాన్ యొక్క ఏరియా-బాడీ బ్యాక్‌డోర్ మరియు RAT సాధనం.

ఇటీవలి దాడుల్లో లక్ష్యంగా చేసుకున్న సంస్థలలో సంబంధిత దేశ ప్రభుత్వ యాజమాన్యంలోని ప్రభుత్వ మంత్రిత్వ శాఖలు మరియు కార్పొరేషన్లు ఉన్నాయి. ఒక ఆసక్తికరమైన పరిశీలన ఏమిటంటే, నైకాన్ ఒక విదేశీ సంస్థలో పట్టు సాధించిన తర్వాత, అది మాల్వేర్‌ను మరింత వ్యాప్తి చేయడానికి దాన్ని ఉపయోగిస్తుంది. అటువంటి ఉదాహరణలలో ఒక విదేశీ రాయబార కార్యాలయం దాని హోస్ట్ దేశంలోని ప్రభుత్వానికి మాల్వేర్‌ను వ్యాప్తి చేయడానికి ఉపయోగించబడింది. ఈ విధానం ఎంబసీలోని తెలిసిన మరియు విశ్వసనీయ పరిచయాలను ఉపయోగిస్తుంది, ఇది చొరబాట్లను సులభతరం చేస్తుంది.

ఇటీవలి దాడిలో, Aria-బాడీ పేలోడ్ "The Indian Way.doc" అనే రిచ్ టెక్స్ట్ ఫార్మాట్ ఫైల్ ద్వారా డెలివరీ చేయబడింది. RoyalRoad సాధనాన్ని ఉపయోగించి నిర్దిష్ట దోపిడీలను ఉపయోగించడానికి ఫైల్ ఆయుధం చేయబడింది. రిచ్ టెక్స్ట్ ఫార్మాట్ ఫైల్ తెరవబడిన తర్వాత, అది "Intel.wll" అనే ఫైల్‌ను పడిపోతుంది, ఇది రిమోట్ డొమైన్ నుండి రెండవ-దశ పేలోడ్‌ను డౌన్‌లోడ్ చేయడానికి ప్రయత్నించే లోడర్‌గా పనిచేస్తుంది.

నైకాన్ దాడుల ఉద్దేశ్యం నిఘా సమాచారాన్ని సేకరించడం మరియు ప్రభుత్వాలపై గూఢచర్యం చేయడం అని నిపుణులు భావిస్తున్నారు. Naikon APT వెనుక ఉన్న చెడు నటులు సోకిన సిస్టమ్‌లలోని ఫైల్‌లను యాక్సెస్ చేయగలరు మరియు కీస్ట్రోక్‌లను కూడా లాగ్ చేయవచ్చు మరియు స్క్రీన్‌షాట్‌లను తీసుకోవచ్చు. APT తన ఇటీవలి కార్యకలాపాలను గుర్తించకుండా చాలా కాలం పాటు తప్పించుకోవడానికి ఒక కారణం ఏమిటంటే, Naikon దాని కమాండ్ మరియు కంట్రోల్ పాయింట్‌లుగా ఇప్పటికే రాజీపడిన ప్రభుత్వ సర్వర్‌లను ఉపయోగించింది.

Naikon APT వారి చేతి తొడుగులను ఇంకా వేలాడదీయలేదు, ఖచ్చితంగా. అయినప్పటికీ, సైబర్ క్రూక్స్ సైబర్ సెక్యూరిటీ పరిశోధకుల రాడార్ కింద ఉండటానికి కొన్ని చర్యలు తీసుకున్నారు.

Naikon APT లక్ష్యాలు

అనేక సంవత్సరాల క్రితం జరిగిన దాడులతో ఇటీవలి దాడులను పోల్చి చూస్తే, Naikon APT అదే ప్రాంతాలను లక్ష్యంగా చేసుకుంటూనే ఉంది. పేర్కొన్నట్లుగా, ఐదు సంవత్సరాల క్రితం వారి లక్ష్యాలలో ఆసియా-పసిఫిక్ ప్రాంతం అంతటా ప్రభుత్వాలు ఉన్నాయి మరియు వారి ఇటీవలి దాడులు కూడా అదే విధంగా చేస్తున్నాయి.

సమూహం గురించి గమనించదగ్గ ఒక ఆసక్తికరమైన విషయం ఏమిటంటే, వారు వివిధ ప్రభుత్వాలలో నెమ్మదిగా తమ స్థావరాన్ని విస్తరిస్తున్నారు. ఒక ఉల్లంఘించిన ప్రభుత్వం నుండి మరొక ప్రభుత్వానికి సోకే ప్రయత్నంలో దాడులను ప్రారంభించడం ద్వారా సమూహం దీన్ని చేస్తుంది. ఒక విదేశీ రాయబార కార్యాలయం తెలియకుండానే సోకిన పత్రాలను ఆతిథ్య దేశ ప్రభుత్వానికి పంపిన సందర్భం ఒకటి ఉంది. కొత్త లక్ష్యాల్లోకి చొరబడేందుకు మరియు వారి గూఢచర్య నెట్‌వర్క్‌ను మరింత అభివృద్ధి చేయడానికి హ్యాకర్లు విశ్వసనీయ పరిచయాలను ఎంత సమర్థవంతంగా ఉపయోగించుకుంటున్నారో ఈ సంఘటన చూపిస్తుంది.

నాయకన్ APT యొక్క సామర్థ్యాలు మరియు లక్ష్యాలను బట్టి చూస్తే, దాడుల వెనుక ఉద్దేశ్యం లక్ష్య ప్రభుత్వాలపై గూఢచర్యం చేయడం మరియు వాటిపై నిఘా సేకరించడం అని స్పష్టమవుతుంది. ఈ బృందం ప్రభుత్వ విభాగాల్లోని వారి లక్ష్యాల నుండి నిర్దిష్ట పత్రాలను సేకరిస్తోంది మరియు తొలగించగల డ్రైవ్‌ల నుండి డేటాను సేకరిస్తోంది, సోకిన కంప్యూటర్‌ల స్క్రీన్‌షాట్‌లను సేకరిస్తుంది మరియు గూఢచర్యం కోసం దొంగిలించబడిన డేటాను ఉపయోగిస్తుంది.

అదంతా చెడ్డది కాకపోతే, ప్రభుత్వ నెట్‌వర్క్‌ల గుండా వెళుతున్నప్పుడు గుర్తించకుండా తప్పించుకోవడంలో Naikon APT నిపుణుడిగా నిరూపించబడింది. సమూహం సోకిన మంత్రిత్వ శాఖలోని సర్వర్‌లను రాజీ చేయడం ద్వారా మరియు దొంగిలించబడిన డేటాను సేకరించి పంపడానికి ఆ కంప్యూటర్‌లను కమాండ్ అండ్ కంట్రోల్ సర్వర్‌గా ఉపయోగించడం ద్వారా దీన్ని చేస్తుంది. ఈ ఇన్ఫెక్షన్ పద్ధతి కారణంగా వాటిని గుర్తించడం దాదాపు అసాధ్యం. ఐదేళ్లపాటు వారు గుర్తించకుండా ఉండగలిగే మార్గాలలో ఇది ఒకటి.

ఏరియా-బాడీ ఇన్ఫెక్షన్ చైన్

ఏరియా-బాడీతో కంప్యూటర్‌లను ఇన్‌ఫెక్ట్ చేయడానికి సమూహం అనేక విభిన్న మార్గాలను కలిగి ఉందని పరిశోధన చూపిస్తుంది. ఈ ప్రాంతంలోని ప్రభుత్వ రాయబార కార్యాలయం ఆస్ట్రేలియన్ రాష్ట్ర ప్రభుత్వానికి పంపిన హానికరమైన ఇమెయిల్‌ను పరిశోధకులు గుర్తించినప్పుడు సమూహంపై పరిశోధన ప్రారంభమైంది. సోకిన పత్రాన్ని "ది ఇండియన్స్ వే" అని పిలుస్తారు మరియు ఇది RTF ఫైల్. ఫైల్ రాయల్‌రోడ్ ఎక్స్‌ప్లోయిట్ బిల్డర్‌తో ఆయుధీకరించబడింది, ఇది కంప్యూటర్‌లోని వర్డ్ ఫోల్డర్‌లోకి intel.wll లోడర్‌ను డ్రాప్ చేస్తుంది. లోడర్ spool.jtjewifyn[.]com నుండి ఇన్ఫెక్షన్ యొక్క తదుపరి దశను డౌన్‌లోడ్ చేసి, దానిని అమలు చేయడానికి ప్రయత్నిస్తుంది.

చివరి డెలివరీ చేయడానికి హ్యాకర్లు రాయల్‌రోడ్ మాల్వేర్‌ను ఉపయోగించడం ఇదే మొదటిసారి కాదు. విసియస్ పాండా వంటి ఇతర ATP సమూహాలు కూడా రాయల్‌రోడ్ డెలివరీ పద్ధతిని ఉపయోగిస్తాయి. హానికరమైన DLL ఫైల్‌లతో లోడ్ చేయబడిన చట్టబద్ధమైన ఫైల్‌లను కలిగి ఉన్న ఆర్కైవ్ ఫైల్‌లను ఉపయోగించడం కూడా Naikon కనిపించింది. ఈ పద్ధతి లక్ష్యంపై సైబర్-దాడిని నిర్వహించడానికి Outlook మరియు ఇతర చట్టబద్ధమైన ఎక్జిక్యూటబుల్ ఫైల్‌ల ప్రయోజనాన్ని పొందుతుంది. Naikon APT సాదాసీదాగా దాక్కోవడంలో చాలా ప్రవీణుడైనట్లు కనిపిస్తోంది.

నైకాన్ యొక్క మొదటి దశ లోడర్

Aria-బాడీ RATని అమలు చేయడానికి ముందు, మొదటి-దశ లోడర్ సోకిన సిస్టమ్‌లో అనేక విధులను నిర్వహిస్తుంది. తరచుగా స్టార్టప్ ఫోల్డర్‌ని ఉపయోగించి బాధితుడి మెషీన్‌పై పట్టుదల ఉండేలా లోడర్ బాధ్యత వహిస్తాడు. అప్పుడు పేలోడ్ మరొక ప్రక్రియలోకి ఇంజెక్ట్ అవుతుంది, లక్ష్య ప్రక్రియల యొక్క కొన్ని ఉదాహరణలు dllhost.exe మరియు rundll32.exe. లోడర్ దాని కాన్ఫిగరేషన్‌ను డీక్రిప్ట్ చేస్తుంది మరియు తదుపరి దశ పేలోడ్‌ను డౌన్‌లోడ్ చేయడానికి C&Cని సంప్రదిస్తుంది - Aria-body RAT, అది డీక్రిప్ట్ చేయబడి లోడ్ చేయబడుతుంది.

నైకాన్ యొక్క ఏరియా-బాడీ ప్రాసెస్ పాత్

అరియా-శరీరాన్ని దగ్గరగా చూడండి

Naikon నిర్వహించిన ఇటీవలి దాడులు మరోసారి Aria-బాడీ కస్టమ్ RATని ఉపయోగించాయి, బహుశా APT దాని ప్రయోజనాల కోసం అభివృద్ధి చేసింది. పేలోడ్ ఫైల్ పేరు దాని పేరు కోసం పరిశోధకులు ఉపయోగించారు - aria-body-dllx86.dll. కస్టమ్ RAT చాలా ఇతర RATలలో కనిపించే కార్యాచరణను కలిగి ఉంది:

• ఫైల్స్ మరియు డైరెక్టరీల తారుమారు
• స్క్రీన్‌షాట్‌లు తీయడం
• ఫైళ్ల కోసం శోధిస్తోంది
• ShellExecute ఫంక్షన్‌ని ఉపయోగించి ఫైల్‌లను ప్రారంభించడం
• TCP సెషన్‌ను ముగించడం
• Amazon యొక్క 'చెకిప్' సేవను ఉపయోగించి బాధిత వ్యవస్థ యొక్క స్థానాన్ని తనిఖీ చేయడం

పరిశోధకులు ఏరియా-శరీరం యొక్క విభిన్న ఉదాహరణలను గుర్తించారు, అవి క్రింది కొన్ని కార్యాచరణలను కూడా కలిగి ఉన్నాయి:

• USB డేటాను సేకరిస్తోంది
• కీస్ట్రోక్ లాగర్
• రివర్స్ సాక్స్ ప్రాక్సీ

అరియా-బాడీ యొక్క మొదటి పని బాధిత వ్యవస్థ గురించి సాధ్యమైనంత ఎక్కువ సమాచారాన్ని స్క్రాప్ చేయడం. సేకరించిన వివరాలలో హోస్ట్ పేరు, వినియోగదారు పేరు, OS వెర్షన్, CPU ఫ్రీక్వెన్సీ, MachineGUID కీ మరియు పబ్లిక్ IP చిరునామా ఉన్నాయి. సేకరించిన డేటా భాగం యాదృచ్ఛికంగా రూపొందించబడిన పాస్‌వర్డ్‌తో జిప్ చేయబడుతుంది, అది గుప్తీకరించబడుతుంది.

RAT దాని C&C సర్వర్‌లతో HTTP లేదా TCPని ఉపయోగించి కమ్యూనికేట్ చేయగలదు. ప్రోటోకాల్‌లలో ఏది ఉపయోగించబడుతుందో లోడర్ కాన్ఫిగరేషన్‌లోని ఫ్లాగ్ ద్వారా నిర్ణయించబడుతుంది. బాధితుడు జిప్ చేసిన సిస్టమ్ డేటా గుప్తీకరించిన ఆర్కైవ్ పాస్‌వర్డ్‌తో కలిసి C&Cకి బదిలీ చేయబడుతుంది. బదిలీ పూర్తయిన తర్వాత, ఇన్‌కమింగ్ కమాండ్‌ల కోసం RAT తన C&Cని వినడం ప్రారంభిస్తుంది.