奈康 APT
Naikon 是一種 APT(高級持續威脅)的名稱,據信它起源於中國。 Naikon 黑客組織首次被發現是在 10 多年前,也就是 2010 年。Naikon APT 在 2015 年成為頭條新聞,當時惡意軟件研究人員發現了網絡騙子使用的基礎設施。由於這次曝光,Naikon 黑客組織的一名成員被執法部門抓獲。在這個失誤之後,網絡安全分析師認為 Naikon APT 已經倒閉了。然而,Naikon 黑客組織最近再次出現了 Aria-body後門木馬——一種具有多種功能的新威脅。
目錄
Niakon 攻擊試圖逃避檢測
Naikon APT 是一個以政府官員和機構為目標的黑客組織。 Naikon 黑客組織實施的大部分攻擊都集中在菲律賓、越南、印度尼西亞、緬甸、文萊和澳大利亞。 Naikon APT 網絡騙子所針對的大多數政府機構通常在外交部門或科技行業運營。據報導,一些國有企業和公司也成為 Naikon APT 的目標。
觀察 Naikon APT 的黑客庫後,惡意軟件研究人員得出結論,這些人傾向於進行長期的偵察和間諜活動。這對於針對外國政府和官員的黑客組織來說是非常典型的。最近涉及上述 Aria-body 黑客工具的 Naikon 行動針對的是澳大利亞政府。 Aria-body後門木馬的目標是收集數據並控制目標與政府相關的系統。很可能在 Naikon APT 的一名成員於 2015 年被捕後,該黑客組織決定開始更加安靜地運作,以避免被惡意軟件分析師檢測到。這可能會誤導專家們相信 Naikon 黑客組織已經退休。
Naikon 黑客組織通過魚叉式網絡釣魚電子郵件傳播 Aria-body 惡意軟件。有問題的電子郵件是專門為避免引起目標的懷疑而精心設計的。偽造的電子郵件將包含一個損壞的附件,其目的是利用 Microsoft Office 服務中的漏洞。
Naikon 獲得了有針對性的攻擊的新生命線
儘管 Naikon 多年來似乎一直處於休眠狀態,有些人甚至猜測 APT 在 2015 年關於其結構的詳細報告後已經解散,但它現在再次抬頭。
與 Check Point 合作的研究人員發現,Naikon 在過去幾年中一直針對同一地區——位於亞太地區的國家和組織。 Naikon襲擊的領土包括澳大利亞、印度尼西亞、越南、文萊、泰國和緬甸。這些攻擊中使用的主要工具是 Naikon 的 Aria-body 後門和 RAT 工具。
最近攻擊的目標組織包括政府部門和各自國家政府擁有的公司。一個奇怪的觀察是,一旦 Naikon 在外國實體中站穩腳跟,它就會利用它來進一步傳播惡意軟件。一個這樣的例子是外國大使館,它被用來向東道國政府傳播惡意軟件。這種方法使用大使館內已知和信任的聯繫人,這使得滲透更容易。
在最近的一次攻擊中,Aria-body 有效載荷通過名為“The Indian Way.doc”的富文本格式文件傳遞。該文件被武器化以使用RoyalRoad工具使用某些漏洞。打開富文本格式文件後,它會刪除一個名為“Intel.wll”的文件,該文件充當加載程序,嘗試從遠程域下載第二階段的有效負載。
專家認為,Naikon 襲擊的目的是收集情報並監視政府。 Naikon APT 背後的不良行為者可以訪問受感染系統上的文件,甚至可以記錄擊鍵和截屏。 APT 長期以來一直逃避對其最近活動的檢測的部分原因是 Naikon 使用了已經受到攻擊的政府服務器作為其指揮和控制點。
當然,Naikon APT 還沒有戴上手套。然而,網絡騙子已經採取了一些措施來保持網絡安全研究人員的注意。
Naikon APT 目標
將最近的攻擊與幾年前的攻擊進行比較表明,Naikon APT 繼續針對相同的區域。如前所述,他們五年前的目標包括亞太地區的政府,而他們最近的攻擊似乎也是如此。
關於該組織的一件有趣的事情是,他們一直在慢慢擴大在各個政府中的立足點。該組織通過從一個被破壞的政府發起攻擊以試圖感染另一個政府來做到這一點。有一個案例是外國大使館在不知情的情況下將受感染的文件發送給了東道國政府。此事件顯示了黑客如何有效地利用受信任的聯繫人來滲透新目標並進一步發展他們的間諜網絡。
鑑於 Naikon APT 的能力和目標,很明顯,攻擊背後的目的是監視目標政府並收集有關它們的情報。該組織正在從政府部門內的目標那裡收集特定文件,並從可移動驅動器中獲取數據,收集受感染計算機的屏幕截圖,並將竊取的數據用於間諜活動。
如果這一切還不夠糟糕的話,事實證明,Naikon APT 在通過政府網絡時能夠規避檢測。該組織通過破壞受感染部門內的服務器並使用這些計算機作為命令和控制服務器來收集和發送被盜數據來做到這一點。由於這種感染方法,幾乎不可能追踪它們。這是他們能夠在五年內避免被發現的方法之一。
Aria-Body 感染鏈
研究表明,該組織有幾種不同的方法可以用 Aria-Body 感染計算機。當研究人員發現一封由該地區的政府大使館發送給澳大利亞州政府的惡意電子郵件時,對該組織的調查就開始了。受感染的文件名為“The Indians Way”,是一個 RTF 文件。該文件被 RoyalRoad 漏洞利用構建器武器化,它將 intel.wll 加載器放入計算機上的 Word 文件夾中。加載程序嘗試從 spool.jtjewifyn[.]com 下載下一階段的感染並執行它。
這不是黑客第一次使用 RoyalRoad 惡意軟件進行最終交付。其他 ATP 團體,例如 Vicious Panda,也使用 RoyalRoad 交付方式。還看到 Naikon 使用包含加載了惡意 DLL 文件的合法文件的存檔文件。此方法利用 Outlook 和其他合法可執行文件對目標進行網絡攻擊。 Naikon APT 似乎已經非常擅長隱藏在眾目睽睽之下。
Naikon 的第一階段裝載機
在部署 Aria-body RAT 之前,第一階段加載程序在受感染的系統上執行許多任務。加載程序負責確保受害者機器上的持久性,通常使用 Startup 文件夾。然後有效載荷將自身注入另一個進程,其中一些目標進程的示例是 dllhost.exe 和 rundll32.exe。加載程序解密其配置並聯繫 C&C 以下載下一階段的有效負載 - Aria-body RAT,然後對其進行解密和加載。
Naikon 的 Aria-body 過程路徑
仔細觀察 Aria-body
Naikon 最近進行的攻擊再次使用了 Aria-body 定制 RAT,這可能是 APT 為其目的開發的。有效載荷的文件名是研究人員使用的名稱 - aria-body-dllx86.dll。自定義 RAT 具有大多數其他 RAT 中的功能:
- 文件和目錄的操作
- 截圖
- 搜索文件
- 使用 ShellExecute 函數啟動文件
- 關閉 TCP 會話
- 使用亞馬遜的“checkip”服務檢查受害者係統的位置
研究人員發現了不同的 Aria-body 實例,它們也具有以下一些功能:
- 收集 USB 數據
- 擊鍵記錄器
- 反向襪子代理
Aria-body 的首要任務是盡可能多地收集有關受害系統的信息。收集的詳細信息包括主機名、用戶名、操作系統版本、CPU 頻率、MachineGUID 密鑰和公共 IP 地址。收集到的數據塊使用隨機生成的密碼進行壓縮,然後加密。
RAT 可以使用 HTTP 或 TCP 與其 C&C 服務器進行通信。使用哪種協議由加載程序配置中的標誌確定。受害者壓縮的系統數據與加密的存檔密碼一起傳輸到 C&C。傳輸完成後,RAT 開始偵聽其 C&C 以獲取傳入命令。
