Naikon APT
Naikon là tên của một APT (Mối đe dọa liên tục nâng cao) được cho là có nguồn gốc từ Trung Quốc. Nhóm hack Naikon lần đầu tiên được phát hiện cách đây hơn một thập kỷ, vào năm 2010. Naikon APT đã gây chú ý vào năm 2015 khi cơ sở hạ tầng được sử dụng bởi những kẻ gian mạng bị các nhà nghiên cứu phần mềm độc hại phát hiện. Nhờ sự kiện này, một trong những thành viên của nhóm hack Naikon đã bị cơ quan pháp luật tóm gọn. Sau vụ hớ hênh này, các nhà phân tích an ninh mạng cho rằng Naikon APT đã ngừng hoạt động. Tuy nhiên, nhóm hack Naikon gần đây đã xuất hiện trở lại với Trojan cửa sau Aria-body - một mối đe dọa mới có vô số tính năng.
Mục lục
Niakon tấn công cố gắng trốn tránh phát hiện
Naikon APT là một nhóm hack có xu hướng nhắm mục tiêu vào các quan chức và tổ chức chính phủ. Hầu hết các cuộc tấn công do nhóm hack Naikon thực hiện đều tập trung ở Philippines, Việt Nam, Indonesia, Myanmar, Brunei và Australia. Hầu hết các tổ chức chính phủ bị kẻ gian mạng từ Naikon APT nhắm tới thường hoạt động trong lĩnh vực đối ngoại hoặc ngành khoa học và công nghệ. Một số doanh nghiệp và công ty, thuộc sở hữu của chính phủ, cũng được cho là mục tiêu của Naikon APT.
Quan sát kho vũ khí tấn công của Naikon APT, các nhà nghiên cứu phần mềm độc hại đã kết luận rằng những cá nhân này có xu hướng thực hiện các hoạt động do thám và gián điệp trong thời gian dài. Điều này rất điển hình cho các nhóm hack nhắm vào các chính phủ và quan chức nước ngoài. Hoạt động Naikon gần đây có liên quan đến công cụ hack cơ thể Aria nói trên đã nhắm mục tiêu vào chính phủ Úc. Mục tiêu của Aria-body backdoor Trojan là thu thập dữ liệu và đảm nhận quyền kiểm soát các hệ thống được chính phủ liên kết với mục tiêu. Nhiều khả năng sau khi một trong những thành viên của Naikon APT bị bắt vào năm 2015, nhóm hack đã quyết định bắt đầu hoạt động âm thầm hơn để tránh bị các nhà phân tích phần mềm độc hại phát hiện. Điều này có thể khiến các chuyên gia nhầm tưởng rằng nhóm hack Naikon đã nghỉ hưu.
Nhóm hack Naikon tuyên truyền phần mềm độc hại Aria-body thông qua các email lừa đảo trực tuyến. Các email được đề cập đã được tạo ra để tránh gây nghi ngờ cho mục tiêu cụ thể. Các email giả mạo sẽ chứa một tệp đính kèm bị hỏng có mục tiêu là khai thác lỗ hổng bảo mật có thể được tìm thấy trong dịch vụ Microsoft Office.
Naikon có được một nguồn sống mới cho các cuộc tấn công có mục tiêu
Mặc dù Naikon dường như không hoạt động trong nhiều năm và một số người thậm chí còn suy đoán rằng APT đã bị giải tán sau một báo cáo chi tiết năm 2015 về cấu trúc của nó, nhưng giờ đây nó đã một lần nữa vươn lên dẫn đầu.
Các nhà nghiên cứu làm việc với Check Point phát hiện ra rằng Naikon đã dành vài năm gần đây để liên tục nhắm mục tiêu vào cùng một khu vực - các quốc gia và tổ chức nằm ở khu vực Châu Á Thái Bình Dương. Các vùng lãnh thổ bị Naikon tấn công bao gồm Úc, Indonesia, Việt Nam, Brunei, Thái Lan và Myanmar. Công cụ chính được sử dụng trong các cuộc tấn công đó là công cụ cửa hậu Aria-body của Naikon và công cụ RAT.
Các tổ chức bị nhắm mục tiêu trong các cuộc tấn công gần đây bao gồm các bộ chính phủ và các tập đoàn thuộc sở hữu của chính phủ nước đó. Một quan sát gây tò mò là một khi Naikon có được chỗ đứng trong một thực thể nước ngoài, nó sẽ sử dụng nó để phát tán phần mềm độc hại hơn nữa. Một ví dụ như vậy là một đại sứ quán nước ngoài đã được sử dụng để phát tán phần mềm độc hại cho chính phủ nước sở tại. Cách tiếp cận này sử dụng các địa chỉ liên hệ đã biết và đáng tin cậy trong đại sứ quán, giúp việc xâm nhập dễ dàng hơn.
Trong một cuộc tấn công gần đây, tải trọng Aria-body đã được phân phối thông qua tệp Định dạng Văn bản Đa dạng thức có tên "The Indian Way.doc". Tệp đã được vũ khí hóa để sử dụng một số khai thác nhất định bằng công cụ RoyalRoad. Khi tệp Định dạng Văn bản Đa dạng thức được mở, nó sẽ thả một tệp có tên "Intel.wll", hoạt động như một trình tải cố gắng tải xuống tải trọng giai đoạn hai từ một miền từ xa.
Các chuyên gia tin rằng mục đích của các cuộc tấn công của Naikon là thu thập thông tin tình báo và do thám các chính phủ. Những kẻ xấu đằng sau Naikon APT có thể truy cập các tệp trên hệ thống bị nhiễm và thậm chí ghi nhật ký các lần nhấn phím và chụp ảnh màn hình. Một phần lý do tại sao APT né tránh việc phát hiện các hoạt động gần đây hơn của nó trong thời gian dài là do Naikon sử dụng các máy chủ của chính phủ đã bị xâm phạm làm điểm chỉ huy và kiểm soát của nó.
Naikon APT chắc chắn vẫn chưa treo găng. Tuy nhiên, những kẻ gian mạng đã thực hiện một số biện pháp để nằm trong tầm ngắm của các nhà nghiên cứu an ninh mạng.
Mục tiêu APT của Naikon
So sánh các cuộc tấn công gần đây với các cuộc tấn công từ vài năm trước cho thấy Naikon APT tiếp tục nhắm mục tiêu vào các khu vực tương tự. Như đã đề cập, các mục tiêu của họ cách đây 5 năm bao gồm các chính phủ trên khắp khu vực Châu Á - Thái Bình Dương, và các cuộc tấn công gần đây của họ dường như cũng hoạt động tương tự.
Một điều thú vị cần lưu ý về nhóm là họ đang dần mở rộng chỗ đứng của mình trong các chính phủ khác nhau. Nhóm thực hiện điều này bằng cách phát động các cuộc tấn công từ một chính phủ vi phạm trong một nỗ lực để lây nhiễm cho một chính phủ khác. Có một trường hợp một đại sứ quán nước ngoài vô tình gửi các tài liệu bị nhiễm bệnh cho chính phủ nước sở tại. Sự cố này cho thấy tin tặc đang khai thác các địa chỉ liên hệ đáng tin cậy hiệu quả như thế nào để xâm nhập vào các mục tiêu mới và phát triển thêm mạng lưới gián điệp của họ.
Với khả năng và mục tiêu của Naikon APT, rõ ràng mục đích đằng sau các cuộc tấn công là do thám các chính phủ mục tiêu và thu thập thông tin tình báo về họ. Nhóm này đang thu thập các tài liệu cụ thể từ các mục tiêu của họ trong các cơ quan chính phủ, đồng thời lấy dữ liệu từ các ổ đĩa di động, thu thập ảnh chụp màn hình của các máy tính bị nhiễm và sử dụng dữ liệu bị đánh cắp cho hoạt động gián điệp.
Nếu tất cả những điều đó vẫn chưa đủ tệ, thì Naikon APT đã chứng tỏ khả năng trốn tránh bị phát hiện khi đi qua các mạng của chính phủ rất thành thạo. Nhóm thực hiện điều này bằng cách xâm nhập các máy chủ trong một bộ bị nhiễm và sử dụng các máy tính đó làm máy chủ chỉ huy và kiểm soát để thu thập và gửi dữ liệu bị đánh cắp. Gần như không thể lần ra dấu vết của chúng nhờ vào phương pháp lây nhiễm này. Đây là một trong những cách mà họ có thể tránh bị phát hiện trong 5 năm.
Chuỗi lây nhiễm cơ thể Aria
Nghiên cứu cho thấy nhóm có một số cách khác nhau để lây nhiễm Aria-Body vào máy tính. Cuộc điều tra về nhóm này bắt đầu khi các nhà nghiên cứu phát hiện một email độc hại được gửi đến chính quyền bang Úc bởi một đại sứ quán chính phủ trong khu vực. Tài liệu bị nhiễm có tên "The Indians Way" và là một tệp RTF. Tệp đã được vũ khí hóa bằng trình tạo khai thác RoyalRoad, công cụ này sẽ thả trình tải intel.wll vào thư mục Word trên máy tính. Trình tải cố gắng tải xuống giai đoạn lây nhiễm tiếp theo từ spool.jtjewifyn [.] Com và thực thi nó.
Đây không phải là lần đầu tiên tin tặc sử dụng phần mềm độc hại RoyalRoad để thực hiện lần gửi cuối cùng. Các nhóm ATP khác, chẳng hạn như Vicious Panda, cũng sử dụng phương pháp phân phối RoyalRoad. Naikon cũng đã được nhìn thấy bằng cách sử dụng các tệp lưu trữ có chứa các tệp hợp pháp được tải với các tệp DLL độc hại. Phương pháp này lợi dụng Outlook và các tệp thực thi hợp pháp khác để tiến hành tấn công mạng vào một mục tiêu. Naikon APT dường như đã rất thành thạo trong việc ẩn nấp trong tầm nhìn dễ thấy.
Trình tải giai đoạn đầu của Naikon
Trước khi Aria-body RAT được triển khai, bộ tải ở giai đoạn đầu tiên thực hiện một số tác vụ trên hệ thống bị nhiễm. Bộ tải chịu trách nhiệm đảm bảo tính liên tục trên máy của nạn nhân, thường sử dụng thư mục Khởi động. Sau đó, trọng tải tự đưa vào một quy trình khác, với một số ví dụ về các quy trình được nhắm mục tiêu là dllhost.exe và rundll32.exe. Bộ tải giải mã cấu hình của nó và liên hệ với C&C để tải xuống tải trọng giai đoạn tiếp theo - Aria-body RAT, sau đó được giải mã và tải.
Đường dẫn quá trình Aria-body của Naikon
Nhìn kỹ hơn vào cơ thể Aria
Các cuộc tấn công gần đây được thực hiện bởi Naikon một lần nữa sử dụng RAT tùy chỉnh Aria-body, có khả năng được APT phát triển cho các mục đích của nó. Tên tệp của tải trọng là những gì các nhà nghiên cứu đã sử dụng cho tên của nó - aria-body-dllx86.dll. RAT tùy chỉnh có chức năng được tìm thấy trong hầu hết các RAT khác:
- thao tác với các tệp và thư mục
- chụp ảnh màn hình
- tìm kiếm các tập tin
- khởi chạy tệp bằng hàm ShellExecute
- đóng một phiên TCP
- kiểm tra vị trí của hệ thống nạn nhân, sử dụng dịch vụ 'kiểm tra' của Amazon
Các nhà nghiên cứu đã phát hiện ra các trường hợp khác nhau của Aria-body cũng có một số chức năng sau:
- thu thập dữ liệu USB
- trình ghi nhật ký tổ hợp phím
- proxy tất ngược
Nhiệm vụ đầu tiên của Aria-body là thu thập càng nhiều thông tin về hệ thống nạn nhân càng tốt. Thông tin chi tiết được thu thập bao gồm tên máy chủ, tên người dùng, phiên bản hệ điều hành, tần số CPU, khóa MachineGUID và địa chỉ IP công khai. Phần dữ liệu thu thập được sẽ được nén với một mật khẩu được tạo ngẫu nhiên và sau đó được mã hóa.
RAT có thể giao tiếp với các máy chủ C&C của nó bằng HTTP hoặc TCP. Giao thức nào được sử dụng được xác định bởi một cờ trong cấu hình của trình tải. Dữ liệu hệ thống đã nén của nạn nhân được chuyển đến C&C cùng với mật khẩu lưu trữ được mã hóa. Sau khi quá trình chuyển hoàn tất, RAT bắt đầu lắng nghe C&C của nó đối với các lệnh đến.
