Naikon APT

Ang Naikon ay ang pangalan ng isang APT (Advanced Persistent Threat) na pinaniniwalaang nagmula sa China. Ang Naikon hacking group ay unang nakita mahigit isang dekada na ang nakalipas, noong 2010. Ang Naikon APT ay naging mga headline noong 2015 nang ang imprastraktura na ginagamit ng mga cyber crook ay natuklasan ng mga mananaliksik ng malware. Salamat sa paglalantad na ito, isa sa mga miyembro ng Naikon hacking group ang nahuli ng tagapagpatupad ng batas. Pagkatapos ng gaffe na ito, ipinalagay ng mga cybersecurity analyst na ang Naikon APT ay nawala sa negosyo. Gayunpaman, ang pangkat ng pag-hack ng Naikon ay muling lumitaw kasama ang Aria-body backdoor Trojan kamakailan - isang bagong banta na mayroong maraming mga tampok.

Sinalakay ni Niakon ang Pagtangkang Umiwas sa Pagtuklas

Ang Naikon APT ay isang hacking group na may posibilidad na i-target ang mga opisyal at institusyon ng gobyerno. Karamihan sa mga pag-atake na ginawa ng Naikon hacking group ay puro sa Pilipinas, Vietnam, Indonesia, Myanmar, Brunei at Australia. Karamihan sa mga institusyon ng gobyerno na pinupuntirya ng mga cyber crook mula sa Naikon APT ay karaniwang nagpapatakbo sa sektor ng foreign affairs o industriya ng agham at teknolohiya. Ang ilang mga negosyo at kumpanya, na pag-aari ng gobyerno, ay naiulat na na-target din ng Naikon APT.

Sa pagmamasid sa pag-hack ng arsenal ng Naikon APT, napagpasyahan ng mga mananaliksik ng malware na ang mga indibidwal na ito ay may posibilidad na magsagawa ng pangmatagalang reconnaissance at mga operasyon ng espiya. Ito ay napaka tipikal para sa mga grupo ng pag-hack na nagta-target sa mga dayuhang pamahalaan at opisyal. Ang kamakailang operasyon ng Naikon na kinasasangkutan ng nabanggit na Aria-body hacking tool ay naka-target sa gobyerno ng Australia. Ang layunin ng Aria-body backdoor Trojan ay upang mangolekta ng data at kontrolin ang mga naka-target na sistemang nauugnay sa pamahalaan. Malamang na pagkatapos na mahuli ang isa sa mga miyembro ng Naikon APT noong 2015, nagpasya ang hacking group na magsimulang mag-operate nang mas tahimik upang maiwasan ang pagtuklas ng mga malware analyst. Ito ay malamang na niligaw ang mga eksperto sa paniniwalang ang Naikon hacking group ay nagretiro na.

Ang pangkat ng pag-hack ng Naikon ay nagpapalaganap ng Aria-body malware sa pamamagitan ng spear-phishing na mga email. Ang mga email na pinag-uusapan ay ginawa upang maiwasan ang pagtaas ng hinala sa partikular na target. Ang mga pekeng email ay maglalaman ng sirang attachment na ang layunin ay pagsamantalahan ang isang kahinaan na makikita sa serbisyo ng Microsoft Office.

Nakakuha ang Naikon ng Bagong Lifeline para sa Mga Target na Pag-atake

Kahit na ang Naikon ay nanatiling tila natutulog sa loob ng maraming taon at ang ilan ay nag-isip na ang APT ay na-disband kasunod ng isang detalyadong ulat noong 2015 sa istraktura nito, muli nitong pinalaki ang ulo nito.

Natuklasan ng mga mananaliksik na nagtatrabaho kasama ang Check Point na ginugol ni Naikon ang mga nakaraang taon sa patuloy na pag-target sa parehong rehiyon – mga bansa at organisasyong matatagpuan sa rehiyon ng Asia Pacific. Kabilang sa mga teritoryong inatake ng Naikon ang Australia, Indonesia, Vietnam, Brunei, Thailand at Myanmar. Ang pangunahing tool na ginamit sa mga pag-atake ay ang Aria-body backdoor at RAT tool ng Naikon.

Kabilang sa mga organisasyong na-target sa mga kamakailang pag-atake ang mga ministri ng gobyerno at mga korporasyong pag-aari ng kani-kanilang gobyerno ng bansa. Ang isang nakakagulat na obserbasyon ay kapag ang Naikon ay nakakuha ng isang foothold sa isang dayuhang entity, pagkatapos ay ginagamit ito upang higit pang maikalat ang malware. Ang isa sa mga halimbawa ay isang dayuhang embahada na ginamit upang maikalat ang malware sa pamahalaan ng bansang host nito. Ang diskarte na ito ay gumagamit ng mga kilala at pinagkakatiwalaang contact sa loob ng embahada, na ginagawang mas madali ang pagpasok.

Sa isang kamakailang pag-atake, ang Aria-body payload ay naihatid sa pamamagitan ng Rich Text Format file na pinangalanang "The Indian Way.doc". Ang file ay ginawang armas upang gumamit ng ilang partikular na pagsasamantala gamit ang tool na RoyalRoad. Kapag nabuksan na ang Rich Text Format file, ibinabagsak nito ang isang file na pinangalanang "Intel.wll", na nagsisilbing loader na sumusubok na i-download ang second-stage na payload mula sa isang remote na domain.

Naniniwala ang mga eksperto na ang layunin ng mga pag-atake ni Naikon ay pangangalap ng katalinuhan at pag-espiya sa mga pamahalaan. Ang masasamang aktor sa likod ng Naikon APT ay maaaring mag-access ng mga file sa mga nahawaang system at kahit na mag-log keystroke at kumuha ng mga screenshot. Bahagi ng dahilan kung bakit matagal nang umiwas ang APT sa pagtuklas ng mga kamakailang aktibidad nito ay ang paggamit ng Naikon ng mga server ng gobyerno na nakompromiso na bilang command at control point nito.

Ang Naikon APT ay hindi pa nagsabit ng kanilang mga guwantes, tiyak. Gayunpaman, ang mga cyber crook ay gumawa ng ilang mga hakbang upang manatili sa ilalim ng radar ng mga mananaliksik sa cybersecurity.

Mga Target ng Naikon APT

Ang paghahambing ng mga kamakailang pag-atake sa mga mula sa ilang taon na ang nakalipas ay nagpapakita na ang Naikon APT ay patuloy na nagta-target sa parehong mga rehiyon. Gaya ng nabanggit, ang kanilang mga target limang taon na ang nakararaan ay kinabibilangan ng mga pamahalaan sa buong rehiyon ng Asia-Pacific, at ang kanilang mga kamakailang pag-atake ay tila ganoon din ang ginagawa.

Isang kawili-wiling bagay na dapat tandaan tungkol sa grupo ay ang kanilang dahan-dahang pagpapalawak ng kanilang katayuan sa iba't ibang pamahalaan. Ginagawa ito ng grupo sa pamamagitan ng paglulunsad ng mga pag-atake mula sa isang nilabag na pamahalaan sa pagtatangkang mahawahan ang isa pang pamahalaan. May isang kaso kung saan ang isang dayuhang embahada ay hindi sinasadyang nagpadala ng mga nahawaang dokumento sa pamahalaan ng bansang pinag-uusahan nito. Ipinapakita ng insidenteng ito kung gaano kaepektibo ang mga hacker na nagsasamantala sa mga pinagkakatiwalaang contact para makalusot sa mga bagong target at higit pang i-develop ang kanilang espionage network.

Dahil sa mga kakayahan at target ng Naikon APT, nagiging malinaw na ang layunin sa likod ng mga pag-atake ay upang tiktikan ang mga target na pamahalaan at mangalap ng katalinuhan sa kanila. Ang grupo ay nangangalap ng mga partikular na dokumento mula sa kanilang mga target sa loob ng mga kagawaran ng gobyerno, at nakakakuha din ng data mula sa mga naaalis na drive, nangongolekta ng mga screenshot ng mga nahawaang computer, at ginagamit ang ninakaw na data para sa espiya.

Kung ang lahat ng iyon ay hindi sapat na masama, ang Naikon APT ay napatunayang sanay sa pag-iwas sa pagtuklas kapag dumadaan sa mga network ng gobyerno. Ginagawa ito ng grupo sa pamamagitan ng pagkompromiso sa mga server sa loob ng isang infected na ministeryo at paggamit sa mga computer na iyon bilang command at control server upang kolektahin at ipadala ang ninakaw na data. Halos imposible na masubaybayan ang mga ito salamat sa paraan ng impeksyon na ito. Ito ay isa sa mga paraan upang maiwasan nila ang pagtuklas sa loob ng limang taon.

Ang Aria-Body Infection Chain

Ipinapakita ng pananaliksik na ang grupo ay may ilang iba't ibang paraan upang mahawahan ang mga computer gamit ang Aria-Body. Nagsimula ang imbestigasyon sa grupo nang makita ng mga mananaliksik ang isang malisyosong email na ipinadala sa pamahalaan ng estado ng Australia ng isang embahada ng gobyerno sa rehiyon. Ang nahawaang dokumento ay tinawag na "The Indians Way" at isang RTF file. Ang file ay ginawang armas gamit ang RoyalRoad exploit builder, na bumaba sa intel.wll loader sa Word folder sa computer. Sinusubukan ng loader na i-download ang susunod na yugto ng impeksyon mula sa spool.jtjewifyn[.]com at isagawa ito.

Hindi ito ang unang pagkakataon na ginamit ng mga hacker ang RoyalRoad malware upang gawin ang huling paghahatid. Ginagamit din ng ibang mga pangkat ng ATP, gaya ng Vicious Panda, ang paraan ng paghahatid ng RoyalRoad. Nakita rin ang Naikon na gumagamit ng mga archive na file na naglalaman ng mga lehitimong file na puno ng mga nakakahamak na DLL file. Sinasamantala ng paraang ito ang Outlook at iba pang mga lehitimong executable na file upang magsagawa ng cyber-attack sa isang target. Ang Naikon APT ay lumilitaw na naging napakahusay sa pagtatago sa simpleng paningin.

First-stage Loader ng Naikon

Bago i-deploy ang Aria-body RAT, ang first-stage loader ay nagsasagawa ng ilang mga gawain sa nahawaang sistema. Ang loader ay may pananagutan sa pagtiyak ng pagtitiyaga sa makina ng biktima, kadalasang gumagamit ng Startup folder. Pagkatapos ang payload ay nag-inject ng sarili nito sa isa pang proseso, na may ilang mga halimbawa ng mga naka-target na proseso ay dllhost.exe at rundll32.exe. Ang loader ay nagde-decrypt ng configuration nito at nakikipag-ugnayan sa C&C para i-download ang susunod na yugto ng payload - ang Aria-body RAT, na pagkatapos ay ide-decrypt at nilo-load.

Ang Aria-body Process Path ng Naikon

Isang Mas Malapit na Pagtingin kay Aria-body

Ang mga kamakailang pag-atake na isinagawa ni Naikon ay muling ginamit ang Aria-body custom na RAT, malamang na binuo ng APT para sa mga layunin nito. Ang filename ng payload ay ang ginamit ng mga mananaliksik para sa pangalan nito - aria-body-dllx86.dll. Ang custom na RAT ay may functionality na makikita sa karamihan ng iba pang RAT:

• pagmamanipula ng mga file at direktoryo
• pagkuha ng mga screenshot
• naghahanap ng mga file
• paglulunsad ng mga file gamit ang ShellExecute function
• pagsasara ng session ng TCP
• pagsuri sa lokasyon ng isang sistema ng biktima, gamit ang serbisyo ng 'checkip' ng Amazon

Ang mga mananaliksik ay nakakita ng iba't ibang pagkakataon ng Aria-body na may ilan sa mga sumusunod na pag-andar:

• pangangalap ng USB data
• keystroke logger
• reverse socks proxy

Ang unang gawain ng Aria-body ay mag-scrape ng maraming impormasyon tungkol sa sistema ng biktima hangga't maaari. Kasama sa mga detalyeng nakolekta ang pangalan ng host, username, bersyon ng OS, dalas ng CPU, MachineGUID key at pampublikong IP address. Ang nakolektang tipak ng data ay naka-zip gamit ang isang random na nabuong password na pagkatapos ay naka-encrypt.

Ang RAT ay maaaring makipag-ugnayan sa mga C&C server nito gamit ang alinman sa HTTP o TCP. Alin sa mga protocol ang ginagamit ay tinutukoy ng isang flag sa configuration ng loader. Ang data ng system na na-zip ng biktima ay inililipat sa C&C kasama ang naka-encrypt na password sa archive. Pagkatapos makumpleto ang paglilipat, magsisimulang makinig ang RAT sa C&C nito para sa mga papasok na command.