Naikon APT

Naikon ist der Name eines APT (Advanced Persistent Threat), das vermutlich aus China stammt. Die Naikon-Hackergruppe wurde erstmals vor über einem Jahrzehnt entdeckt, im Jahr 2010. Die Naikon APT machte 2015 Schlagzeilen, als die von den Cyber-Gaunern verwendete Infrastruktur von Malware-Forschern aufgedeckt wurde. Dank dieses Exposés wurde eines der Mitglieder der Naikon-Hackergruppe von den Strafverfolgungsbehörden gefasst. Nach diesem Ausrutscher gingen Cybersicherheitsanalysten davon aus, dass Naikon APT sein Geschäft eingestellt hatte. Die Naikon-Hacking-Gruppe ist jedoch kürzlich mit dem Aria-Body- Backdoor-Trojaner wieder aufgetaucht – eine neue Bedrohung mit einer Vielzahl von Funktionen.

Niakon greift an und versucht, sich der Entdeckung zu entziehen

Die Naikon APT ist eine Hacking-Gruppe, die dazu neigt, Regierungsbeamte und -institutionen ins Visier zu nehmen. Die meisten Angriffe der Naikon-Hackergruppe konzentrieren sich auf die Philippinen, Vietnam, Indonesien, Myanmar, Brunei und Australien. Die meisten Regierungsinstitutionen, auf die die Cyber-Gauner des Naikon APT abzielen, sind normalerweise im Bereich der Außenpolitik oder der Wissenschafts- und Technologiebranche tätig. Berichten zufolge wurden auch einige Unternehmen und Firmen, die sich in Staatsbesitz befinden, von der Naikon APT angegriffen.

Malware-Forscher haben das Hacking-Arsenal von Naikon APT beobachtet und sind zu dem Schluss gekommen, dass diese Personen dazu neigen, langfristige Aufklärungs- und Spionageoperationen durchzuführen. Dies ist sehr typisch für Hackergruppen, die es auf ausländische Regierungen und Beamte abgesehen haben. Die jüngste Naikon-Operation, die das oben erwähnte Aria-Body-Hacking-Tool beinhaltete, zielte auf die australische Regierung ab. Das Ziel des Aria-Body- Backdoor-Trojaners war es, Daten zu sammeln und die Kontrolle über die anvisierten regierungsverbundenen Systeme zu übernehmen. Es ist wahrscheinlich, dass die Hacking-Gruppe, nachdem eines der Mitglieder des Naikon APT im Jahr 2015 gefasst wurde, beschlossen hat, leiser zu operieren, um eine Entdeckung durch Malware-Analysten zu vermeiden. Dies hat die Experten wahrscheinlich zu der Annahme verleitet, dass sich die Naikon-Hackergruppe zurückgezogen hat.

Die Naikon-Hacking-Gruppe verbreitet die Aria-Body-Malware über Spear-Phishing-E-Mails. Die fraglichen E-Mails wurden erstellt, um zu vermeiden, dass speziell das Ziel verdächtigt wird. Die gefälschten E-Mails enthalten einen beschädigten Anhang, dessen Ziel es ist, eine Schwachstelle auszunutzen, die im Microsoft Office-Dienst gefunden werden kann.

Naikon erhält eine neue Rettungsleine für gezielte Angriffe

Obwohl Naikon jahrelang scheinbar inaktiv blieb und einige sogar spekulierten, dass die APT nach einem detaillierten Bericht von 2015 über ihre Struktur aufgelöst wurde, hat sie sich nun wieder erhoben.

Forscher, die mit Check Point zusammengearbeitet haben, haben herausgefunden, dass Naikon in den letzten Jahren kontinuierlich auf dieselbe Region abzielte – Länder und Organisationen im asiatisch-pazifischen Raum. Zu den von Naikon angegriffenen Gebieten gehören Australien, Indonesien, Vietnam, Brunei, Thailand und Myanmar. Das Haupttool, das bei diesen Angriffen verwendet wurde, war Naikons Aria-Body-Backdoor und RAT-Tool.

Zu den Organisationen, die bei neueren Angriffen ins Visier genommen wurden, gehören Ministerien und Unternehmen, die der Regierung des jeweiligen Landes gehören. Eine merkwürdige Beobachtung ist, dass Naikon, sobald es in einem fremden Unternehmen Fuß gefasst hat, es dann zur weiteren Verbreitung von Malware nutzt. Ein solches Beispiel ist eine ausländische Botschaft, die verwendet wurde, um Malware an die Regierung ihres Gastlandes zu verbreiten. Dieser Ansatz nutzt bekannte und vertrauenswürdige Kontakte innerhalb der Botschaft, was die Infiltrierung erleichtert.

Bei einem kürzlichen Angriff wurde die Payload des Aria-Körpers über eine Rich-Text-Format-Datei mit dem Namen „The Indian Way.doc“ übermittelt. Die Datei wurde bewaffnet, um bestimmte Exploits mit dem Tool RoyalRoad zu verwenden. Sobald die Rich-Text-Format-Datei geöffnet wird, legt sie eine Datei mit dem Namen „Intel.wll“ ab, die als Loader fungiert, der versucht, die Payload der zweiten Stufe von einer Remotedomäne herunterzuladen.

Experten glauben, dass der Zweck von Naikons Angriffen darin besteht, Informationen zu sammeln und Regierungen auszuspionieren. Die Angreifer hinter Naikon APT können auf Dateien infizierter Systeme zugreifen und sogar Tastenanschläge protokollieren und Screenshots machen. Einer der Gründe, warum die APT sich so lange der Entdeckung ihrer neueren Aktivitäten entzog, war, dass Naikon bereits kompromittierte Regierungsserver als Kommando- und Kontrollpunkte nutzte.

Die Naikon APT hat ihre Handschuhe sicherlich noch nicht an den Nagel gehängt. Die Cyber-Gauner haben jedoch einige Maßnahmen ergriffen, um unter dem Radar der Cybersicherheitsforscher zu bleiben.

Naikon APT-Ziele

Ein Vergleich der jüngsten Angriffe mit denen von vor einigen Jahren zeigt, dass Naikon APT weiterhin dieselben Regionen angreift. Wie bereits erwähnt, umfassten ihre Ziele vor fünf Jahren Regierungen in der gesamten asiatisch-pazifischen Region, und ihre jüngsten Angriffe scheinen dasselbe zu tun.

Eine interessante Sache, die an der Gruppe zu bemerken ist, ist, dass sie langsam in verschiedenen Regierungen Fuß gefasst hat. Die Gruppe tut dies, indem sie Angriffe von einer verletzten Regierung aus startet, um zu versuchen, eine andere Regierung zu infizieren. Es gab einen Fall, in dem eine ausländische Botschaft unwissentlich infizierte Dokumente an die Regierung ihres Gastlandes schickte. Dieser Vorfall zeigt, wie effektiv die Hacker vertrauenswürdige Kontakte ausnutzen, um neue Ziele zu infiltrieren und ihr Spionagenetzwerk weiter auszubauen.

Angesichts der Fähigkeiten und Ziele von Naikon APT wird klar, dass der Zweck hinter den Angriffen darin besteht, die Zielregierungen auszuspionieren und Informationen über sie zu sammeln. Die Gruppe sammelt spezifische Dokumente von ihren Zielen in Regierungsbehörden und greift auch auf Daten von Wechseldatenträgern zu, sammelt Screenshots von infizierten Computern und verwendet die gestohlenen Daten für Spionage.

Als ob das alles nicht schlimm genug wäre, hat sich Naikon APT als geschickt darin erwiesen, der Erkennung zu entgehen, wenn es durch Regierungsnetzwerke geht. Die Gruppe tut dies, indem sie Server innerhalb eines infizierten Ministeriums kompromittiert und diese Computer als Befehls- und Kontrollserver verwendet, um die gestohlenen Daten zu sammeln und zu senden. Dank dieser Infektionsmethode ist es fast unmöglich, sie aufzuspüren. Dies war eine der Möglichkeiten, wie sie fünf Jahre lang der Entdeckung entgehen konnten.

Die Aria-Body-Infektionskette

Untersuchungen zeigen, dass die Gruppe verschiedene Möglichkeiten hat, Computer mit Aria-Body zu infizieren. Die Untersuchung der Gruppe begann, als Forscher eine böswillige E-Mail entdeckten, die von einer Regierungsbotschaft in der Region an die australische Landesregierung gesendet wurde. Das infizierte Dokument hieß „The Indians Way“ und war eine RTF-Datei. Die Datei wurde mit dem RoyalRoad-Exploit-Builder bewaffnet, der den intel.wll-Loader in den Word-Ordner auf dem Computer ablegt. Der Loader versucht, die nächste Infektionsstufe von spool.jtjewifyn[.]com herunterzuladen und auszuführen.

Dies wäre nicht das erste Mal, dass Hacker die RoyalRoad-Malware verwenden, um die endgültige Lieferung vorzunehmen. Andere ATP-Gruppen wie Vicious Panda verwenden ebenfalls die RoyalRoad-Liefermethode. Naikon wurde auch bei der Verwendung von Archivdateien beobachtet, die legitime Dateien enthalten, die mit bösartigen DLL-Dateien geladen sind. Diese Methode nutzt Outlook und andere legitime ausführbare Dateien, um einen Cyberangriff auf ein Ziel durchzuführen. Naikon APT scheint sehr geschickt darin geworden zu sein, sich vor aller Augen zu verstecken.

Naikons Erststufenlader

Bevor die Aria-Body-RAT bereitgestellt wird, führt der First-Stage-Loader eine Reihe von Aufgaben auf dem infizierten System aus. Der Loader ist dafür verantwortlich, die Persistenz auf dem Computer des Opfers sicherzustellen, häufig unter Verwendung des Autostart-Ordners. Dann injiziert sich die Nutzlast in einen anderen Prozess, wobei einige Beispiele für gezielte Prozesse dllhost.exe und rundll32.exe sind. Der Loader entschlüsselt seine Konfiguration und kontaktiert C&C, um die Nutzlast der nächsten Stufe herunterzuladen – die Aria-Body-RAT, die dann entschlüsselt und geladen wird.

Naikons Aria-Körper-Prozesspfad

Ein genauerer Blick auf den Aria-Körper

Die kürzlich von Naikon durchgeführten Angriffe verwendeten erneut das Aria-Body-Custom-RAT, das wahrscheinlich von der APT für ihre Zwecke entwickelt wurde. Der Dateiname der Payload ist der, den die Forscher für ihren Namen verwendeten – aria-body-dllx86.dll. Die benutzerdefinierte RAT hat die Funktionalität, die in den meisten anderen RATs zu finden ist:

• Manipulation von Dateien und Verzeichnissen
• Screenshots machen
• Suche nach Dateien
• Starten von Dateien mit der ShellExecute-Funktion
• Schließen einer TCP-Sitzung
• Überprüfen des Standorts eines Opfersystems mithilfe des Dienstes „checkip“ von Amazon

Forscher haben verschiedene Instanzen von Aria-body entdeckt, die auch einige der folgenden Funktionen hatten:

• Sammeln von USB-Daten
• Tastenanschlag-Logger
• Reverse-Socks-Proxy

Die erste Aufgabe von Aria-body besteht darin, so viele Informationen wie möglich über das Opfersystem zu sammeln. Zu den gesammelten Details gehören Hostname, Benutzername, Betriebssystemversion, CPU-Frequenz, MachineGUID-Schlüssel und öffentliche IP-Adresse. Der gesammelte Datenblock wird mit einem zufällig generierten Passwort gezippt, das dann verschlüsselt wird.

Die RAT kann mit ihren C&C-Servern entweder über HTTP oder TCP kommunizieren. Welches der Protokolle verwendet wird, wird durch ein Flag in der Konfiguration des Loaders bestimmt. Die gezippten Systemdaten des Opfers werden zusammen mit dem verschlüsselten Archivpasswort an das C&C übertragen. Nachdem die Übertragung abgeschlossen ist, beginnt die RAT, auf ihrem C&C nach eingehenden Befehlen zu lauschen.