ในกรณ์ APT
Naikon เป็นชื่อของ APT (Advanced Persistent Threat) ที่เชื่อกันว่ามีต้นกำเนิดมาจากประเทศจีน กลุ่มแฮ็ค Naikon ถูกพบครั้งแรกเมื่อสิบกว่าปีที่แล้ว ย้อนกลับไปในปี 2010 Naikon APT กลายเป็นหัวข้อข่าวในปี 2015 เมื่อโครงสร้างพื้นฐานที่ใช้โดยอาชญากรไซเบอร์ถูกค้นพบโดยนักวิจัยมัลแวร์ ต้องขอบคุณงานนิทรรศการนี้ หนึ่งในสมาชิกของกลุ่มแฮ็ค Naikon ถูกหน่วยงานบังคับใช้กฎหมายจับได้ ภายหลังจากพฤติกรรมดังกล่าว นักวิเคราะห์ด้านความปลอดภัยทางไซเบอร์ได้สันนิษฐานว่า APT ของนายกรณ์เลิกกิจการแล้ว อย่างไรก็ตาม กลุ่มแฮ็คของ Naikon ได้กลับมารวมตัวอีกครั้งกับ Aria-body backdoor Trojan ซึ่งเป็นภัยคุกคามรูปแบบใหม่ที่มีคุณสมบัติมากมาย
สารบัญ
Niakon พยายามโจมตีเพื่อหลบเลี่ยงการตรวจจับ
Naikon APT เป็นกลุ่มแฮ็คที่มุ่งเป้าไปที่เจ้าหน้าที่และสถาบันของรัฐ การโจมตีส่วนใหญ่ที่ดำเนินการโดยกลุ่มแฮ็ค Naikon นั้นกระจุกตัวอยู่ในฟิลิปปินส์ เวียดนาม อินโดนีเซีย เมียนมาร์ บรูไน และออสเตรเลีย สถาบันของรัฐส่วนใหญ่ที่ตกเป็นเป้าหมายของอาชญากรไซเบอร์จาก APT ในกรณ์ มักจะดำเนินการในภาคการต่างประเทศหรืออุตสาหกรรมวิทยาศาสตร์และเทคโนโลยี มีรายงานว่าธุรกิจและบริษัทบางแห่งซึ่งรัฐบาลเป็นเจ้าของก็ตกเป็นเป้าหมายของ APT ในกรณ์ด้วย
เมื่อสังเกตการแฮ็กคลังอาวุธของ Naikon APT นักวิจัยมัลแวร์ได้ข้อสรุปว่าบุคคลเหล่านี้มีแนวโน้มที่จะดำเนินการลาดตระเวนและจารกรรมในระยะยาว นี่เป็นเรื่องปกติมากสำหรับกลุ่มแฮ็คที่กำหนดเป้าหมายไปยังรัฐบาลและเจ้าหน้าที่ต่างประเทศ การดำเนินการล่าสุดในไนคอนที่เกี่ยวข้องกับเครื่องมือแฮ็ก Aria-body ดังกล่าวมุ่งเป้าไปที่รัฐบาลออสเตรเลีย เป้าหมายของ Aria-body backdoor Trojan คือการรวบรวมข้อมูลและเข้าควบคุมระบบเป้าหมายที่เชื่อมโยงกับรัฐบาล มีแนวโน้มว่าหลังจากที่หนึ่งในสมาชิกของ Naikon APT ถูกจับได้ในปี 2558 กลุ่มแฮ็กเกอร์ตัดสินใจที่จะเริ่มดำเนินการอย่างเงียบๆ เพื่อหลีกเลี่ยงการตรวจจับโดยนักวิเคราะห์มัลแวร์ สิ่งนี้น่าจะทำให้ผู้เชี่ยวชาญเข้าใจผิดคิดว่ากลุ่มแฮ็กเกอร์นายกรณ์ได้เกษียณแล้ว
กลุ่มแฮ็ค Naikon เผยแพร่มัลแวร์ Aria-body ผ่านอีเมลหลอกลวงทางอินเทอร์เน็ต อีเมลที่เป็นปัญหาสร้างขึ้นเพื่อหลีกเลี่ยงการทำให้เกิดความสงสัยในเป้าหมายโดยเฉพาะ อีเมลปลอมจะมีไฟล์แนบที่เสียหายซึ่งมีเป้าหมายเพื่อใช้ประโยชน์จากช่องโหว่ที่สามารถพบได้ในบริการของ Microsoft Office
นายกรณ์ได้รับเส้นชีวิตใหม่สำหรับการโจมตีแบบกำหนดเป้าหมาย
แม้ว่านายกรณ์จะดูเฉยเมยเป็นเวลาหลายปี และบางคนถึงกับคาดเดาว่า APT ถูกยุบไปแล้วตามรายงานโดยละเอียดเกี่ยวกับโครงสร้างในปี 2558 เกี่ยวกับโครงสร้างของ APT แต่บัดนี้กลับกลายเป็นอีกครั้ง
นักวิจัยที่ทำงานกับเช็คพอยท์พบว่าในกรณ์ใช้เวลาไม่กี่ปีที่ผ่านมาอย่างต่อเนื่องโดยกำหนดเป้าหมายไปยังภูมิภาคเดียวกัน – ประเทศและองค์กรที่ตั้งอยู่ในภูมิภาคเอเชียแปซิฟิก ดินแดนที่ถูกไนคอนโจมตี ได้แก่ ออสเตรเลีย อินโดนีเซีย เวียดนาม บรูไน ไทย และเมียนมาร์ เครื่องมือหลักที่ใช้ในการโจมตีเหล่านั้นคือแบ็คดอร์ Aria-body และ RAT ของนายกรณ์
องค์กรที่มีเป้าหมายในการโจมตีล่าสุด ได้แก่ กระทรวงของรัฐบาลและองค์กรที่รัฐบาลของประเทศนั้น ๆ เป็นเจ้าของ การสังเกตที่น่าสงสัยคือเมื่อนายกรณ์ได้ตั้งหลักในหน่วยงานต่างประเทศแล้วจะใช้เพื่อแพร่กระจายมัลแวร์ต่อไป ตัวอย่างหนึ่งคือสถานทูตต่างประเทศที่ใช้ในการแพร่มัลแวร์ไปยังรัฐบาลของประเทศเจ้าบ้าน วิธีนี้ใช้ผู้ติดต่อที่รู้จักและเชื่อถือได้ภายในสถานทูต ซึ่งทำให้การแทรกซึมง่ายขึ้น
ในการโจมตีครั้งล่าสุด เพย์โหลด Aria-body ถูกส่งผ่านไฟล์รูปแบบ Rich Text ชื่อ "The Indian Way.doc" ไฟล์นี้มีอาวุธเพื่อใช้หาประโยชน์บางอย่างโดยใช้เครื่องมือ RoyalRoad เมื่อเปิดไฟล์ Rich Text Format ไฟล์จะดร็อปไฟล์ชื่อ "Intel.wll" ซึ่งทำหน้าที่เป็นตัวโหลดที่พยายามดาวน์โหลดเพย์โหลดขั้นที่สองจากโดเมนระยะไกล
ผู้เชี่ยวชาญเชื่อว่าจุดประสงค์ของการโจมตีของนายกรณ์คือการรวบรวมข่าวกรองและสอดแนมรัฐบาล ผู้ไม่หวังดีที่อยู่เบื้องหลัง Naikon APT สามารถเข้าถึงไฟล์บนระบบที่ติดไวรัสและแม้แต่บันทึกการกดแป้นพิมพ์และถ่ายภาพหน้าจอ สาเหตุส่วนหนึ่งที่ APT หลบเลี่ยงการตรวจจับกิจกรรมล่าสุดเป็นเวลานานคือนายกรณ์ใช้เซิร์ฟเวอร์ของรัฐบาลที่ถูกบุกรุกเป็นจุดสั่งการและควบคุม
Naikon APT ยังไม่วางถุงมือแน่นอน อย่างไรก็ตาม อาชญากรไซเบอร์ได้ดำเนินมาตรการบางอย่างเพื่อให้อยู่ภายใต้เรดาร์ของนักวิจัยด้านความปลอดภัยทางไซเบอร์
Naikon APT Targets
การเปรียบเทียบการโจมตีล่าสุดกับการโจมตีเมื่อหลายปีก่อนแสดงให้เห็นว่า Naikon APT ยังคงกำหนดเป้าหมายไปยังภูมิภาคเดียวกัน ดังที่กล่าวไว้ เป้าหมายของพวกเขาเมื่อห้าปีที่แล้วรวมถึงรัฐบาลทั่วภูมิภาคเอเชียแปซิฟิก และการโจมตีล่าสุดของพวกเขาดูเหมือนจะทำเช่นเดียวกัน
สิ่งที่น่าสนใจอย่างหนึ่งเกี่ยวกับกลุ่มนี้คือพวกเขาค่อยๆ ขยายฐานที่มั่นในรัฐบาลต่างๆ กลุ่มทำเช่นนี้โดยเริ่มการโจมตีจากรัฐบาลที่ฝ่าฝืนรัฐบาลหนึ่งเพื่อพยายามแพร่ระบาดไปยังรัฐบาลอื่น มีกรณีหนึ่งที่สถานทูตต่างประเทศส่งเอกสารที่ติดเชื้อไปยังรัฐบาลของประเทศเจ้าบ้านโดยไม่รู้ตัว เหตุการณ์นี้แสดงให้เห็นว่าแฮ็กเกอร์ใช้ประโยชน์จากผู้ติดต่อที่เชื่อถือได้เพื่อแทรกซึมเป้าหมายใหม่และพัฒนาเครือข่ายจารกรรมของพวกเขาต่อไปได้อย่างไร
ด้วยความสามารถและเป้าหมายของ Naikon APT จึงเป็นที่ชัดเจนว่าจุดประสงค์เบื้องหลังการโจมตีคือการสอดแนมรัฐบาลเป้าหมายและรวบรวมข้อมูลเกี่ยวกับพวกเขา กลุ่มนี้กำลังรวบรวมเอกสารเฉพาะจากเป้าหมายภายในหน่วยงานของรัฐบาล และยังดึงข้อมูลจากไดรฟ์แบบถอดได้ รวบรวมภาพหน้าจอของคอมพิวเตอร์ที่ติดไวรัส และใช้ข้อมูลที่ถูกขโมยมาเพื่อการจารกรรม
หากยังไม่ดีพอ Naikon APT ได้พิสูจน์แล้วว่าเชี่ยวชาญในการหลบเลี่ยงการตรวจจับเมื่อผ่านเครือข่ายของรัฐบาล กลุ่มทำสิ่งนี้โดยการประนีประนอมเซิร์ฟเวอร์ภายในกระทรวงที่ติดไวรัสและใช้คอมพิวเตอร์เหล่านี้เป็นเซิร์ฟเวอร์คำสั่งและควบคุมเพื่อรวบรวมและส่งข้อมูลที่ถูกขโมย แทบเป็นไปไม่ได้เลยที่จะติดตามพวกมันด้วยวิธีการติดเชื้อนี้ นี่เป็นวิธีหนึ่งที่พวกเขาหลีกเลี่ยงการตรวจจับได้เป็นเวลาห้าปี
ห่วงโซ่การติดเชื้อ Aria-Body
การวิจัยแสดงให้เห็นว่ากลุ่มนี้มีหลายวิธีในการแพร่ระบาดในคอมพิวเตอร์ด้วย Aria-Body การสอบสวนในกลุ่มเริ่มต้นขึ้นเมื่อนักวิจัยพบอีเมลที่เป็นอันตรายที่สถานทูตของรัฐบาลในภูมิภาคส่งถึงรัฐบาลออสเตรเลีย เอกสารที่ติดไวรัสนี้มีชื่อว่า "The Indians Way" และเป็นไฟล์ RTF ไฟล์ดังกล่าวถูกติดตั้งอาวุธด้วยตัวสร้างช่องโหว่ของ RoyalRoad ซึ่งจะปล่อยตัวโหลด intel.wll ลงในโฟลเดอร์ Word บนคอมพิวเตอร์ ตัวโหลดพยายามดาวน์โหลดขั้นตอนต่อไปของการติดไวรัสจาก spool.jtjewifyn[.]com และดำเนินการ
นี่ไม่ใช่ครั้งแรกที่แฮ็กเกอร์ใช้มัลแวร์ RoyalRoad เพื่อทำการส่งมอบขั้นสุดท้าย กลุ่ม ATP อื่นๆ เช่น Vicious Panda ก็ใช้วิธีการจัดส่งของ RoyalRoad ด้วย Naikon ยังพบเห็นการใช้ไฟล์เก็บถาวรที่มีไฟล์ที่ถูกต้องซึ่งโหลดด้วยไฟล์ DLL ที่เป็นอันตราย วิธีนี้ใช้ประโยชน์จาก Outlook และไฟล์เรียกทำงานที่ถูกต้องตามกฎหมายอื่นๆ เพื่อโจมตีทางไซเบอร์กับเป้าหมาย Naikon APT ดูเหมือนจะเก่งมากในการซ่อนตัวในสายตาธรรมดา
ตัวโหลดด่านแรกของนาย
ก่อนที่ Aria-body RAT จะถูกปรับใช้ ตัวโหลดขั้นตอนแรกจะทำงานหลายอย่างบนระบบที่ติดไวรัส ตัวโหลดมีหน้าที่ตรวจสอบความคงอยู่ของเครื่องของเหยื่อ ซึ่งมักใช้โฟลเดอร์เริ่มต้น จากนั้นเพย์โหลดจะแทรกเข้าไปในกระบวนการอื่น โดยมีตัวอย่างบางส่วนของกระบวนการเป้าหมายคือ dllhost.exe และ rundll32.exe ตัวโหลดจะถอดรหัสการกำหนดค่าและติดต่อ C&C เพื่อดาวน์โหลดเพย์โหลดขั้นถัดไป - Aria-body RAT ซึ่งจะถูกถอดรหัสและโหลดแล้ว
เส้นทางกระบวนการ Aria-body ของนายกรณ์
มองใกล้ที่ Aria-body
การโจมตีครั้งล่าสุดที่นายนายกระทำได้ใช้ RAT แบบกำหนดเองของ Aria อีกครั้ง ซึ่งน่าจะพัฒนาโดย APT เพื่อจุดประสงค์ ชื่อไฟล์ของเพย์โหลดคือสิ่งที่นักวิจัยใช้สำหรับชื่อ - aria-body-dllx86.dll RAT แบบกำหนดเองมีฟังก์ชันการทำงานที่พบใน RAT อื่นๆ ส่วนใหญ่:
- การจัดการไฟล์และไดเรกทอรี
- กำลังจับภาพหน้าจอ
- ค้นหาไฟล์
- การเปิดไฟล์โดยใช้ฟังก์ชัน ShellExecute
- ปิดเซสชัน TCP
- ตรวจสอบตำแหน่งระบบเหยื่อ โดยใช้บริการ 'checkip' ของ Amazon
นักวิจัยได้พบตัวอย่างต่างๆ ของ Aria-body ซึ่งมีฟังก์ชันบางอย่างดังต่อไปนี้:
- กำลังรวบรวมข้อมูล USB
- ตัวบันทึกการกดแป้นพิมพ์
- ย้อนกลับถุงเท้า proxy
งานแรกของ Aria-body คือการขูดข้อมูลเกี่ยวกับระบบเหยื่อให้ได้มากที่สุด รายละเอียดที่รวบรวม ได้แก่ ชื่อโฮสต์ ชื่อผู้ใช้ เวอร์ชันของระบบปฏิบัติการ ความถี่ของ CPU คีย์ MachineGUID และที่อยู่ IP สาธารณะ ข้อมูลที่เก็บรวบรวมจะถูกบีบอัดด้วยรหัสผ่านที่สร้างแบบสุ่มและเข้ารหัสแล้ว
หนูสามารถสื่อสารกับเซิร์ฟเวอร์ C&C โดยใช้ HTTP หรือ TCP โปรโตคอลใดที่ใช้ถูกกำหนดโดยแฟล็กในการกำหนดค่าของตัวโหลด ข้อมูลระบบที่ถูกบีบอัดของเหยื่อจะถูกโอนไปยัง C&C พร้อมกับรหัสผ่านที่เก็บถาวรที่เข้ารหัส หลังจากการถ่ายโอนเสร็จสิ้น RAT จะเริ่มฟัง C&C สำหรับคำสั่งที่เข้ามา
