Naikon APT

Naikon — це назва APT (Advanced Persistent Threat), яка, як вважають, походить з Китаю. Хакерська група Naikon була вперше помічена більше десяти років тому, ще в 2010 році. Naikon APT потрапила в заголовки газет у 2015 році, коли дослідники зловмисного програмного забезпечення виявили інфраструктуру, яку використовували кібер-шахраї. Завдяки цьому викриттю один із учасників хакерської групи «Найкон» був спійманий правоохоронними органами. Після цієї помилки аналітики з кібербезпеки припустили, що Naikon APT припинив свою діяльність. Тим НЕ менше, хакерство група Naikon має відродилася з Aria тіла троян недавно - нова загроза , яка має безліч функцій.

Niakon атаки намагаються уникнути виявлення

Naikon APT — це хакерська група, яка спрямована на державних чиновників та установ. Більшість атак, здійснених хакерською групою Naikon, зосереджені на Філіппінах, В'єтнамі, Індонезії, М'янмі, Брунеї та Австралії. Більшість державних установ, на які націлені кібер-шахраї з APT «Найкон», зазвичай працюють у секторі закордонних справ або в галузі науки та технологій. Повідомляється, що деякі підприємства та компанії, які перебувають у державній власності, також стали мішенню Naikon APT.

Спостерігаючи за хакерським арсеналом Naikon APT, дослідники шкідливих програм прийшли до висновку, що ці особи, як правило, здійснюють тривалі розвідувальні та шпигунські операції. Це дуже характерно для хакерських груп, націлених на іноземні уряди та чиновників. Нещодавня операція Naikon, яка включала вищезгаданий інструмент злому Aria-body, була спрямована на уряд Австралії. Метою бекдор-трояна Aria-body був збір даних і контроль над цільовими державними системами. Ймовірно, що після того, як у 2015 році був спійманий один із учасників Naikon APT, хакерська група вирішила почати діяти тихіше, щоб уникнути виявлення зловмисниками. Це, ймовірно, ввело експертів в оману, коли вони повірили, що хакерська група Naikon вийшла на пенсію.

Хакерська група Naikon поширює зловмисне програмне забезпечення Aria-body через фішингові електронні листи. Електронні листи, про які йде мова, були створені, щоб не викликати підозру саме в цілі. Підроблені електронні листи містили б пошкоджене вкладення, метою якого є використання вразливості, яку можна знайти в службі Microsoft Office.

Naikon отримує нову рятівну лінію для цілеспрямованих атак

Незважаючи на те, що Naikon роками залишався бездіяльним, а деякі навіть припускали, що APT було розпущено після детального звіту про його структуру за 2015 рік, тепер він знову підняв голову.

Дослідники, що працюють з Check Point, виявили, що Naikon протягом останніх кількох років постійно націлювався на один і той самий регіон – країни та організації, розташовані в Азіатсько-Тихоокеанському регіоні. Території, які атакував Найкон, включають Австралію, Індонезію, В'єтнам, Бруней, Таїланд і М'янму. Основним інструментом, використаним у цих атаках, був бекдор Aria-body та інструмент RAT від Naikon.

Організації, на яких ставляться останні напади, включають урядові міністерства та корпорації, що належать уряду відповідної країни. Цікавим є те, що, як тільки Naikon закріплюється в іноземній організації, він потім використовує це для подальшого поширення шкідливого програмного забезпечення. Одним із таких прикладів є іноземне посольство, яке використовувалося для поширення шкідливих програм серед уряду країни перебування. Цей підхід використовує відомі та надійні контакти в посольстві, що полегшує проникнення.

Під час нещодавньої атаки корисне навантаження Aria-body було доставлено через файл формату Rich Text під назвою «The Indian Way.doc». Файл був використаний для використання певних експлойтів за допомогою інструменту RoyalRoad. Після відкриття файлу Rich Text Format він видаляє файл з назвою "Intel.wll", який діє як завантажувач, який намагається завантажити корисне навантаження другого етапу з віддаленого домену.

Експерти вважають, що метою атак Naikon є збір розвідувальних даних і шпигування за урядами. Погані актори, які стоять за Naikon APT, можуть отримати доступ до файлів у заражених системах і навіть реєструвати натискання клавіш і робити знімки екрана. Однією з причин, чому APT так довго ухилявся від виявлення своєї новітньої діяльності, було те, що Naikon використовував урядові сервери, які вже були скомпрометовані, як свої командні та контрольні точки.

Звісно, що в Naikon APT ще не повісили рукавички. Однак кібер-шахраї вжили деяких заходів, щоб залишатися під радаром дослідників кібербезпеки.

Цілі Naikon APT

Порівняння нещодавніх атак із атаками кілька років тому показує, що Naikon APT продовжує націлюватись на ті самі регіони. Як згадувалося, їх цілі п’ять років тому включали уряди в Азіатсько-Тихоокеанському регіоні, і їхні нещодавні атаки, схоже, роблять те саме.

Одна цікава річ, яку слід відзначити про групу, полягає в тому, що вони повільно розширюють свої позиції в різних урядах. Група робить це, починаючи атаки з боку одного порушеного уряду, намагаючись заразити інший уряд. Був один випадок, коли іноземне посольство несвідомо надіслало заражені документи уряду країни перебування. Цей інцидент показує, наскільки ефективно хакери використовують довірені контакти для проникнення в нові цілі та подальшого розвитку своєї шпигунської мережі.

Враховуючи можливості та цілі Naikon APT, стає зрозумілим, що метою атак є шпигування за цільовими урядами та збір розвідувальних даних про них. Група збирає конкретні документи від своїх цілей у державних відомствах, а також захоплює дані зі знімних дисків, збирає скріншоти заражених комп’ютерів і використовує вкрадені дані для шпигунства.

Якщо все це було недостатньо погано, Naikon APT довів себе вмілим ухилятися від виявлення при проходженні через державні мережі. Група робить це, компрометуючи сервери в зараженому міністерстві та використовує ці комп’ютери як сервер командування та керування для збору та надсилання вкрадених даних. Завдяки цьому способу зараження їх практично неможливо відстежити. Це був один із способів, яким вони змогли уникнути виявлення протягом п’яти років.

Ланцюг зараження Арія-Тіло

Дослідження показують, що у групи є кілька різних способів зараження комп’ютерів Aria-Body. Розслідування щодо групи почалося, коли дослідники помітили шкідливий електронний лист, надісланий уряду австралійського штату посольством уряду в регіоні. Заражений документ називався «Шлях індіанців» і був файлом RTF. Файл був озброєний за допомогою конструктора експлойтів RoyalRoad, який переміщує завантажувач intel.wll до папки Word на комп’ютері. Завантажувач намагається завантажити наступний етап зараження з spool.jtjewifyn[.]com і виконати його.

Це не перший випадок, коли хакери використовують зловмисне програмне забезпечення RoyalRoad для остаточної доставки. Інші групи ATP, такі як Vicious Panda, також використовують метод доставки RoyalRoad. Також було помічено, що Naikon використовує архівні файли, які містять законні файли, завантажені зі шкідливими файлами DLL. Цей метод використовує переваги Outlook та інших законних виконуваних файлів для здійснення кібератаки на ціль. Naikon APT, здається, дуже вміло ховатися на виду.

Навантажувач першого ступеня компанії Naikon

Перед розгортанням Aria-body RAT завантажувач першого етапу виконує ряд завдань у зараженій системі. Завантажувач відповідає за збереження на машині жертви, часто використовуючи папку запуску. Потім корисне навантаження вводиться в інший процес, з деякими прикладами цільових процесів dllhost.exe і rundll32.exe. Завантажувач розшифровує свою конфігурацію та зв’язується з C&C, щоб завантажити корисне навантаження наступного етапу – RAT-тело Aria, яке потім розшифровується та завантажується.

Шлях процесу арії-тіла Найкона

Більш детальний погляд на тіло Арії

Нещодавні атаки, здійснені Naikon, знову використовували користувальницький RAT для корпусу Aria, ймовірно розроблений APT для своїх цілей. Ім'я файлу корисного навантаження - це те, що дослідники використовували для його назви - aria-body-dllx86.dll. Спеціальний RAT має функціональні можливості, які є в більшості інших RAT:

• маніпуляції з файлами та каталогами
• робити скріншоти
• пошук файлів
• запуск файлів за допомогою функції ShellExecute
• закриття сеансу TCP
• перевірка місцезнаходження системи жертви за допомогою служби Amazon «checkip».

Дослідники помітили різні екземпляри Aria-body, які також мали деякі з наступних функцій:

• збір даних USB
• реєстратор натискань клавіш
• reverse socks proxy

Перше завдання Aria-body — зібрати якомога більше інформації про систему жертви. Зібрані дані включають ім’я хоста, ім’я користувача, версію ОС, частоту процесора, ключ MachineGUID та публічну IP-адресу. Зібраний фрагмент даних архівується за допомогою випадково згенерованого пароля, який потім шифрується.

RAT може спілкуватися зі своїми серверами C&C за допомогою HTTP або TCP. Який із протоколів використовується, визначається прапорцем у конфігурації завантажувача. Запаковані системні дані жертви передаються в C&C разом із зашифрованим паролем архіву. Після завершення передачі RAT починає прослуховувати свої C&C для вхідних команд.