奈康 APT
Naikon 是一种 APT(高级持续威胁)的名称,据信它起源于中国。 Naikon 黑客组织首次被发现是在 10 多年前,也就是 2010 年。Naikon APT 在 2015 年成为头条新闻,当时恶意软件研究人员发现了网络骗子使用的基础设施。由于这次曝光,Naikon 黑客组织的一名成员被执法部门抓获。在这个失误之后,网络安全分析师认为 Naikon APT 已经倒闭了。然而,Naikon 黑客组织最近再次出现了 Aria-body后门木马——一种具有多种功能的新威胁。
目录
Niakon 攻击试图逃避检测
Naikon APT 是一个以政府官员和机构为目标的黑客组织。 Naikon 黑客组织实施的大部分攻击都集中在菲律宾、越南、印度尼西亚、缅甸、文莱和澳大利亚。 Naikon APT 网络骗子针对的大多数政府机构通常在外交部门或科技行业运营。据报道,一些国有企业和公司也成为 Naikon APT 的目标。
观察 Naikon APT 的黑客库后,恶意软件研究人员得出结论,这些人倾向于进行长期的侦察和间谍活动。这对于针对外国政府和官员的黑客组织来说是非常典型的。最近涉及上述 Aria-body 黑客工具的 Naikon 行动针对的是澳大利亚政府。 Aria-body后门木马的目标是收集数据并控制目标与政府相关的系统。很可能在 Naikon APT 的一名成员于 2015 年被捕后,该黑客组织决定开始更加安静地运作,以避免被恶意软件分析师检测到。这可能会误导专家们相信 Naikon 黑客组织已经退休。
Naikon 黑客组织通过鱼叉式网络钓鱼电子邮件传播 Aria-body 恶意软件。有问题的电子邮件是专门为避免引起目标的怀疑而精心设计的。伪造的电子邮件将包含一个损坏的附件,其目的是利用 Microsoft Office 服务中的漏洞。
Naikon 获得了有针对性的攻击的新生命线
尽管 Naikon 多年来似乎一直处于休眠状态,有些人甚至猜测 APT 在 2015 年关于其结构的详细报告后已经解散,但它现在再次抬头。
与 Check Point 合作的研究人员发现,Naikon 在过去几年中一直针对同一地区——位于亚太地区的国家和组织。 Naikon袭击的领土包括澳大利亚、印度尼西亚、越南、文莱、泰国和缅甸。这些攻击中使用的主要工具是 Naikon 的 Aria-body 后门和 RAT 工具。
最近攻击的目标组织包括政府部门和各自国家政府拥有的公司。一个奇怪的观察是,一旦 Naikon 在外国实体中站稳脚跟,它就会利用它来进一步传播恶意软件。一个这样的例子是外国大使馆,它被用来向东道国政府传播恶意软件。这种方法使用大使馆内已知和信任的联系人,这使得渗透更容易。
在最近的一次攻击中,Aria-body 有效载荷通过名为“The Indian Way.doc”的富文本格式文件传递。该文件被武器化以使用RoyalRoad工具使用某些漏洞。打开富文本格式文件后,它会删除一个名为“Intel.wll”的文件,该文件充当加载程序,尝试从远程域下载第二阶段的有效负载。
专家认为,Naikon 袭击的目的是收集情报并监视政府。 Naikon APT 背后的不良行为者可以访问受感染系统上的文件,甚至可以记录击键和截屏。 APT 长期以来一直逃避对其最近活动的检测的部分原因是 Naikon 使用了已经受到攻击的政府服务器作为其指挥和控制点。
当然,Naikon APT 还没有戴上手套。然而,网络骗子已经采取了一些措施来保持网络安全研究人员的注意。
Naikon APT 目标
将最近的攻击与几年前的攻击进行比较表明,Naikon APT 继续针对相同的区域。如前所述,他们五年前的目标包括亚太地区的政府,而他们最近的攻击似乎也是如此。
关于该组织的一件有趣的事情是,他们一直在慢慢扩大在各个政府中的立足点。该组织通过从一个被破坏的政府发起攻击以试图感染另一个政府来做到这一点。有一个案例是外国大使馆在不知情的情况下将受感染的文件发送给了东道国政府。此事件显示了黑客如何有效地利用受信任的联系人来渗透新目标并进一步开发他们的间谍网络。
鉴于 Naikon APT 的能力和目标,很明显,攻击背后的目的是监视目标政府并收集有关它们的情报。该组织正在从政府部门内的目标那里收集特定文件,并从可移动驱动器中获取数据,收集受感染计算机的屏幕截图,并将窃取的数据用于间谍活动。
如果这一切还不够糟糕的话,事实证明,Naikon APT 在通过政府网络时能够规避检测。该组织通过破坏受感染部门内的服务器并使用这些计算机作为命令和控制服务器来收集和发送被盗数据来做到这一点。由于这种感染方法,几乎不可能追踪它们。这是他们能够在五年内避免被发现的方法之一。
Aria-Body 感染链
研究表明,该组织有几种不同的方法可以用 Aria-Body 感染计算机。当研究人员发现一封由该地区的政府大使馆发送给澳大利亚州政府的恶意电子邮件时,对该组织的调查就开始了。受感染的文件名为“The Indians Way”,是一个 RTF 文件。该文件被 RoyalRoad 漏洞利用构建器武器化,该构建器将 intel.wll 加载程序放入计算机上的 Word 文件夹中。加载程序尝试从 spool.jtjewifyn[.]com 下载下一阶段的感染并执行它。
这不是黑客第一次使用 RoyalRoad 恶意软件进行最终交付。其他 ATP 团体,例如 Vicious Panda,也使用 RoyalRoad 交付方式。还看到 Naikon 使用包含加载了恶意 DLL 文件的合法文件的存档文件。此方法利用 Outlook 和其他合法可执行文件对目标进行网络攻击。 Naikon APT 似乎已经非常擅长隐藏在众目睽睽之下。
Naikon 的第一阶段装载机
在部署 Aria-body RAT 之前,第一阶段加载程序在受感染的系统上执行许多任务。加载程序负责确保受害者机器上的持久性,通常使用 Startup 文件夹。然后,有效负载将自身注入另一个进程,其中一些目标进程的示例是 dllhost.exe 和 rundll32.exe。加载程序解密其配置并联系 C&C 以下载下一阶段的有效负载 - Aria-body RAT,然后对其进行解密和加载。
Naikon 的 Aria-body 过程路径
仔细观察 Aria-body
Naikon 最近进行的攻击再次使用了 Aria-body 定制 RAT,这可能是 APT 为其目的开发的。有效载荷的文件名是研究人员使用的名称 - aria-body-dllx86.dll。自定义 RAT 具有大多数其他 RAT 中的功能:
- 文件和目录的操作
- 截图
- 搜索文件
- 使用 ShellExecute 函数启动文件
- 关闭 TCP 会话
- 使用亚马逊的“checkip”服务检查受害者系统的位置
研究人员发现了不同的 Aria-body 实例,它们也具有以下一些功能:
- 收集 USB 数据
- 击键记录器
- 反向袜子代理
Aria-body 的首要任务是尽可能多地收集有关受害系统的信息。收集的详细信息包括主机名、用户名、操作系统版本、CPU 频率、MachineGUID 密钥和公共 IP 地址。收集到的数据块使用随机生成的密码进行压缩,然后加密。
RAT 可以使用 HTTP 或 TCP 与其 C&C 服务器进行通信。使用哪种协议由加载程序配置中的标志确定。受害者压缩的系统数据与加密的存档密码一起传输到 C&C。传输完成后,RAT 开始侦听其 C&C 以获取传入命令。
