Naikon APT

Naikon, Çin'den geldiğine inanılan bir APT'nin (Gelişmiş Kalıcı Tehdit) adıdır. Naikon bilgisayar korsanlığı grubu ilk olarak on yıldan uzun bir süre önce, yani 2010'da tespit edildi. Naikon APT, siber dolandırıcılar tarafından kullanılan altyapının kötü amaçlı yazılım araştırmacıları tarafından ortaya çıkarıldığı 2015 yılında manşetlere çıktı. Bu ifşa sayesinde Naikon hack grubunun üyelerinden biri kolluk kuvvetleri tarafından yakalandı. Bu gaftan sonra siber güvenlik analistleri Naikon APT'nin iflas ettiğini varsaydılar. Bununla birlikte, Naikon hack grubu, son zamanlarda Aria-body arka kapı Truva Atı ile yeniden ortaya çıktı - çok sayıda özelliğe sahip yeni bir tehdit.

Niakon, Tespitten Kurtulma Girişimine Saldırdı

Naikon APT, hükümet yetkililerini ve kurumlarını hedef alma eğiliminde olan bir bilgisayar korsanlığı grubudur. Naikon hack grubu tarafından gerçekleştirilen saldırıların çoğu Filipinler, Vietnam, Endonezya, Myanmar, Brunei ve Avustralya'da yoğunlaşıyor. Naikon APT'den gelen siber dolandırıcıların hedef aldığı devlet kurumlarının çoğu, genellikle dış ilişkiler sektöründe veya bilim ve teknoloji endüstrisinde faaliyet göstermektedir. Devlete ait bazı işletme ve şirketlerin de Naikon APT tarafından hedef alındığı bildiriliyor.

Naikon APT'nin bilgisayar korsanlığı cephaneliğini gözlemleyen kötü amaçlı yazılım araştırmacıları, bu kişilerin uzun vadeli keşif ve casusluk operasyonları yürütme eğiliminde olduğu sonucuna vardı. Bu, yabancı hükümetleri ve yetkilileri hedef alan bilgisayar korsanlığı grupları için çok tipiktir. Yukarıda bahsedilen Aria-body hack aracını içeren son Naikon operasyonu, Avustralya hükümetini hedef aldı. Aria gövdesi arka kapı Truva Atı'nın amacı, veri toplamak ve hedeflenen hükümet bağlantılı sistemlerin kontrolünü üstlenmekti. Naikon APT üyelerinden biri 2015 yılında yakalandıktan sonra, bilgisayar korsanlığı grubu, kötü amaçlı yazılım analistleri tarafından algılanmamak için daha sessiz çalışmaya karar vermiş olabilir. Bu, uzmanları muhtemelen Naikon hack grubunun emekli olduğuna inandırdı.

Naikon korsan grubu, Aria-body kötü amaçlı yazılımını hedef odaklı kimlik avı e-postaları yoluyla yayar. Söz konusu e-postalar, özellikle hedefte şüphe uyandırmamak için hazırlanmıştır. Sahte e-postalar, amacı Microsoft Office hizmetinde bulunabilecek bir güvenlik açığından yararlanmak olan bozuk bir ek içerir.

Naikon, Hedefli Saldırılar için Yeni Bir Yaşam Çizgisi Aldı

Naikon görünüşte yıllarca hareketsiz kalsa ve hatta bazıları APT'nin yapısı hakkında ayrıntılı bir 2015 raporunun ardından dağıtıldığını düşünüyor olsa da, şimdi bir kez daha başını kaldırdı.

Check Point ile çalışan araştırmacılar, Naikon'un son birkaç yılını sürekli olarak aynı bölgeyi, yani Asya Pasifik bölgesinde bulunan ülkeleri ve kuruluşları hedef alarak geçirdiğini keşfetti. Naikon tarafından saldırıya uğrayan bölgeler arasında Avustralya, Endonezya, Vietnam, Brunei, Tayland ve Myanmar yer alıyor. Bu saldırılarda kullanılan başlıca araç, Naikon'un Aria-body arka kapısı ve RAT aracıydı.

Daha yakın tarihli saldırılarda hedef alınan kuruluşlar arasında hükümet bakanlıkları ve ilgili ülkenin hükümetine ait şirketler yer alıyor. İlginç bir gözlem, Naikon'un yabancı bir varlıkta bir yer edindiğinde, bunu kötü amaçlı yazılımları daha da yaymak için kullanmasıdır. Böyle bir örnek, ev sahibi ülkenin hükümetine kötü amaçlı yazılım yaymak için kullanılan bir yabancı elçiliktir. Bu yaklaşım, büyükelçilik içindeki bilinen ve güvenilir kişileri kullanarak sızmayı kolaylaştırır.

Yakın tarihli bir saldırıda, Aria gövdesi yükü, "The Indian Way.doc" adlı bir Zengin Metin Biçimi dosyası aracılığıyla teslim edildi. Dosya, RoyalRoad aracı kullanılarak belirli açıkları kullanmak için silahlandırılmıştır. Zengin Metin Biçimi dosyası açıldığında, ikinci aşama yükünü uzak bir etki alanından indirmeye çalışan bir yükleyici görevi gören "Intel.wll" adlı bir dosya bırakır.

Uzmanlar, Naikon'un saldırılarının amacının istihbarat toplamak ve hükümetler hakkında casusluk yapmak olduğuna inanıyor. Naikon APT'nin arkasındaki kötü aktörler, virüslü sistemlerdeki dosyalara erişebilir ve hatta tuş vuruşlarını kaydedebilir ve ekran görüntüleri alabilir. APT'nin daha yakın tarihli faaliyetlerinin tespitinden bu kadar uzun süre kaçmasının bir nedeni, Naikon'un komuta ve kontrol noktaları olarak zaten güvenliği ihlal edilmiş hükümet sunucularını kullanmasıydı.

Naikon APT kesinlikle eldivenlerini henüz kapatmadı. Ancak siber dolandırıcılar, siber güvenlik araştırmacılarının radarı altında kalmak için bazı önlemler aldı.

Naikon APT Hedefleri

Son saldırıların birkaç yıl önceki saldırılarla karşılaştırılması, Naikon APT'nin aynı bölgeleri hedef almaya devam ettiğini gösteriyor. Belirtildiği gibi, beş yıl önceki hedefleri Asya-Pasifik bölgesindeki hükümetleri içeriyordu ve son saldırıları da aynı şeyi yapıyor gibi görünüyor.

Grupla ilgili dikkat edilmesi gereken ilginç bir şey de, çeşitli hükümetlerdeki yerlerini yavaş yavaş genişletmeleridir. Grup bunu, başka bir hükümete bulaşma girişiminde bulunan bir hükümetten saldırılar düzenleyerek yapar. Bir yabancı büyükelçiliğin bilmeden ev sahibi ülkenin hükümetine virüslü belgeler gönderdiği bir vaka vardı. Bu olay, bilgisayar korsanlarının yeni hedeflere sızmak ve casusluk ağlarını daha da geliştirmek için güvenilir kişileri ne kadar etkili bir şekilde kullandığını gösteriyor.

Naikon APT'nin yetenekleri ve hedefleri göz önüne alındığında, saldırıların arkasındaki amacın hedef hükümetleri gözetlemek ve onlar hakkında istihbarat toplamak olduğu ortaya çıkıyor. Grup, devlet dairelerindeki hedeflerinden belirli belgeler topluyor ve ayrıca çıkarılabilir sürücülerden veri alıyor, virüslü bilgisayarların ekran görüntülerini topluyor ve çalınan verileri casusluk için kullanıyor.

Tüm bunlar yeterince kötü değilse, Naikon APT devlet ağlarından geçerken tespit edilmekten kaçınma konusunda usta olduğunu kanıtlamıştır. Grup bunu, virüslü bir bakanlık içindeki sunucuları tehlikeye atarak ve bu bilgisayarları çalınan verileri toplamak ve göndermek için bir komuta ve kontrol sunucusu olarak kullanarak yapar. Bu enfeksiyon yöntemi sayesinde onları takip etmek neredeyse imkansızdır. Bu, beş yıl boyunca tespit edilmekten kaçınmanın yollarından biriydi.

Aria-Vücut Enfeksiyon Zinciri

Araştırmalar, grubun bilgisayarlara Aria-Body bulaştırmak için birkaç farklı yolu olduğunu gösteriyor. Grupla ilgili soruşturma, araştırmacıların bölgedeki bir hükümet büyükelçiliği tarafından Avustralya eyalet hükümetine gönderilen kötü niyetli bir e-posta tespit etmesiyle başladı. Etkilenen belgeye "Kızılderililerin Yolu" adı verildi ve bir RTF dosyasıydı. Dosya, intel.wll yükleyicisini bilgisayardaki Word klasörüne bırakan RoyalRoad exploit oluşturucu ile silahlandırılmıştır. Yükleyici, enfeksiyonun sonraki aşamasını spool.jtjewifyn[.]com adresinden indirmeye ve yürütmeye çalışır.

Bu, bilgisayar korsanlarının son teslimatı yapmak için RoyalRoad kötü amaçlı yazılımını ilk kez kullanışı olmayacaktı. Vicious Panda gibi diğer ATP grupları da RoyalRoad dağıtım yöntemini kullanır. Naikon'un kötü niyetli DLL dosyalarıyla yüklenen meşru dosyaları içeren arşiv dosyalarını kullandığı da görüldü. Bu yöntem, bir hedefe siber saldırı gerçekleştirmek için Outlook ve diğer yasal yürütülebilir dosyalardan yararlanır. Naikon APT, görünürde saklanma konusunda oldukça ustalaşmış görünüyor.

Naikon'un Birinci Aşama Yükleyicisi

Aria-body RAT konuşlandırılmadan önce, birinci aşama yükleyici, virüslü sistemde bir dizi görevi yerine getirir. Yükleyici, genellikle Başlangıç klasörünü kullanarak kurbanın makinesinde kalıcılığı sağlamaktan sorumludur. Ardından yük, kendisini başka bir işleme enjekte eder, hedeflenen işlemlerin bazı örnekleri dllhost.exe ve rundll32.exe'dir. Yükleyici, yapılandırmasının şifresini çözer ve bir sonraki aşama yükünü indirmek için C&C ile iletişime geçer - Aria-body RAT, daha sonra şifresi çözülür ve yüklenir.

Naikon'un Aria-vücut İşlem Yolu

Aria-body'e Yakından Bakış

Naikon tarafından gerçekleştirilen son saldırılar, muhtemelen APT tarafından kendi amaçları için geliştirilen Aria-body özel RAT'ı bir kez daha kullandı. Yükün dosya adı, araştırmacıların adı için kullandığı şeydir - aria-body-dllx86.dll. Özel RAT, diğer RAT'lerin çoğunda bulunan işlevselliğe sahiptir:

• dosya ve dizinlerin manipülasyonu
• ekran görüntüsü almak
• dosya aramak
• ShellExecute işlevini kullanarak dosyaları başlatma
• TCP oturumunu kapatma
• Amazon'un 'checkip' hizmetini kullanarak kurban sisteminin konumunu kontrol etme

Araştırmacılar, aşağıdaki işlevlerden bazılarına sahip olan farklı Aria gövdesi örneklerini de tespit ettiler:

• USB verilerini toplama
• tuş vuruşu kaydedici
• ters çorap vekil

Aria-body'nin ilk görevi, kurban sistemi hakkında mümkün olduğunca fazla bilgi toplamaktır. Toplanan ayrıntılar arasında ana bilgisayar adı, kullanıcı adı, işletim sistemi sürümü, CPU frekansı, MachineGUID anahtarı ve genel IP adresi bulunur. Toplanan veri yığını, daha sonra şifrelenen rastgele oluşturulmuş bir parola ile sıkıştırılır.

RAT, C&C sunucularıyla HTTP veya TCP kullanarak iletişim kurabilir. Hangi protokollerin kullanılacağı, yükleyicinin yapılandırmasındaki bir bayrakla belirlenir. Kurbanın sıkıştırılmış sistem verileri, şifrelenmiş arşiv şifresi ile birlikte C&C'ye aktarılır. Aktarım tamamlandıktan sonra RAT, gelen komutlar için C&C'sini dinlemeye başlar.