APT-группировка Naikon


Чтобы посмотреть этот PDF файл с форматированием и разметкой, скачайте его и откройте на своем компьютере.
APT
-
группировка Naikon

Сбор геополитической разведывательной
информации в странах Азиатско
-
Тихоокеанского
региона

Наш недавний отчет “
Хроники APT­атак Hellsing: Империя наносит ответный удар
” начинался с
описания APT­группировки Naikon, которая характеризовалась как «одна из наиболее активных
APT­группировок в Азии, особенно в районе ЮжноКитайского моря». Она упоминал
ась в связи
с уникальной и удивительной историей возмездия, выпавшей на ее долю. Именно благодаря
атаке Naikon на организацию, связанную с APTгруппировкой Hellsing, мы впервые узнали о
Hellsing. Учитывая масштаб деятельности Naikon, неумолимость и упорство

ее атак, это
столкновение следовало изучить, что мы и сделали.

APT­группировка Naikon похожа на группировку

APT30
, недавно обнаруженную нашими
коллегами из FireEye, но точного соответствия мы не нашли. Вряд ли стоит удивляться
отдельным совпадениям, учитывая, что обе группировки в течение многих лет выкачивали
информацию из своих жертв в регионе Южно­Китайского моря,

очевидно охотясь за
геополитическими разведывательными данными.

В следующем отчете о Naikon мы
проанализируем тактические приемы, методы и процедуры, применяемые этой группировкой, и
невероятный масштаб атак в регионе Южно­Китайского моря, ведущихся, по меньшей мере, с
2010 года.

Отличительные рабочие и логистические х
арактеристики этой APT­группировки:



Масштабные геополитические атаки на важные государственные организации на
протяжении как минимум пяти лет
;



Географическая направленность: индивидуальное назначение оператора для каждой
страны и использование прокси­серв
еров;



Динамичная, хорошо организованная инфраструктура
;



Использование согласованного набора инструментов сторонних разработчиков, в состав
которого входят: полнофункциональный бэкдор, обычный компо
новщик и компоновщик
эксплойтов;



Высокая доля успешных попы
ток проникновения в государственные организации стран
АСЕАН
.

В
есной 2014 года мы обратили внимание на рост числа атак со стороны APT­группировки
Naikon. Родным языком злоумышленников, по­видимому, являлся китайский, а их атаки были в
основном нацелены на государственные учреждения, гражданские и военные организации
высшего звена в таких странах, как Филиппины, Малайзия, Камбоджа, Индонезия, Вьетнам,
Мьянма, Сингапур, Непал, Таиланд, Лаос и Китай.



Приманка

Атака обычно начинается с отправки письма с вложением, которое может заинтересовать
потенциальную жертву. Вложе
ние может содержать сведения из открытых источников или
конфиденциальную информацию, украденную из других взломанных систем.

Вложение­приманка выглядит как стандартный документ Word. На самом деле это эксплойт к
уязвимости CVE­2012­0158


исполняемый файл
с двойным расширением либо с именем,
созданным с помощью техники RTLO (Right­to­Left Override), который может выполнить код без
ведома и согласия пользователя. Во время выполнения этот файл устанавливает на
компьютер жертвы шпионское ПО и одновременно выво
дит на экран текст документаприманки,
так что обманутый пользователь думает, что открыл обычный документ.

Конфигурация

Выбранный Naikon инструмент генерирует небольшой специальный зашифрованный файл
размером 8000 байт; он содержит код, который должен быть
внедрен в браузер вместе с
данными конфигурации. С помощью модуля запуска весь этот файл внедряется в память
браузера и расшифровывает блок конфигурации, который содержит:



информацию о командном сервере



номера портов и путь к серверу



строку User­agent



име
на файлов и пути к компонентам



хэш­суммы функций пользовательского API

З
атем этот же код скачивает с командного сервера через SSL­протокол основное тело
зловреда, загружает его в обход функций операционной системы и, не сохраняя на
ж
естком
диске, передает
управление функции XS02. Вся функциональная обработка происходит в
памяти.


Функциональность

Главный модуль представляет собой утилиту удаленного администрирования. Используя
SSLпротокол, модуль устанавливает обратное соединение с командным сервером следую
щим
образом: он устанавливает с командным сервером исходящее соединение и проверяет, нет ли
команды, которую он должен выполнить. Если такая команда поступает, он выполняет ее и
возвращает результат командному серверу. В репертуаре модуля 48 различных кома
нд, с
помощью которых удаленный оператор может эффективно управлять компьютером жертвы.
Среди них


получение полной информации об аппаратном и программном обеспечении
компьютера, скачивание и загрузка данных, установка модулей расширения и работа с
коман
дной строкой.

П
олный перечень команд главного модуля:

0

CMD_MAIN_INFO

1

CMD_PROCESS_REFRESH

2

CMD_PROCESS_NAME

3

CMD_PROCESS_KILL

4

CMD_PROCESS_MODULE

5

CMD_DRIVE_REFRESH

6

CMD_DIRECTORY

7

CMD_DIRECTORY_CREATE

8

CMD_DIRECTORY_CREATE_HIDDEN

9

CMD_DIRECTORY_DELETE

10

CMD_DIRECTORY_RENAME

11

CMD_DIRECOTRY_DOWNLOAD

12

CMD_FILE_REFRESH

13

CMD_FILE_DELETE

14

CMD_FILE_RENAME

15

CMD_FILE_EXECUTE_NORMAL

16

CMD_FILE_EXECUTE_H
IDDEN

17

CMD_FILE_EXECUTE_NORMAL_CMD

18

CMD_FILE_EXECUTE_HIDDEN_CMD

19

CMD_FILE_UPLOAD

20

CMD_FILE_DOWNLOAD

21

CMD_WINDOWS_INFO

22

CMD_WINDOWS_MESSAGE

23

CMD_SHELL_OPEN

24

CMD_SHELL_CLOSE

25

CMD_SHELL_WRITE

26

CMD_SERVICE_REFRESH

27

CMD_SERVICE_CONTROL

28

CMD_PROGRAM_INFO

29

CMD_UNINSTALL_PROGRAM

30

CMD_REGESTRY_INFO

31

CMD_ADD_AUTO_START

32

CMD_MY_PLUGIN

33

CMD_3RD_PLUGIN

34

CMD_REG_CREATEKEY

35

CMD_REG_DELETEKEY

36

CMD_REG_SETVALUE

37

CMD_REG_DELETEVALUE

38

CMD_SELF_KILL

39

CMD_SELF_RESTART

40

CMD_SELF_CONFIG

41

CMD_SELF_UPDATE

42

CMD_SERVER_INFO

43

CMD_INSTALL_SERVICE

44

CMD_FILE_DOWNLOAD2

45

CMD_RESET

46

CMD_CONNECTION_TABLE

50


CMD_HEART_BEAT

Существует несколько модификаций главного модуля. Между ними нет существенных
различий, но в более поздних версиях появились некоторые дополнительные функции,
включая

сжатие и шифрование передаваемых данных и скачивание больших файлов по
частям.


Aug 23

d085ba82824c1e61e93e113a705b8e9a 118272 18:46:57

2012


May 20

b4a8dc9eb26e727eafb6c8477963829c 140800 11:56:38

2013


Jun 13

172fd9cce78de38d8cbcad605e3d6675 118784 12:14:40

2013


Aug 19

d74a7e7a4de0da503472f1f051b68745 190464 05:30:12

2013


Jan 07

93e84075bef7a11832d9c5aa70135dc6 154624 04:39:43

2014


Работа командных серверов и использование
проксисерверов

Работа командных серверов имеет следующие отличительные особенности:



низкие требования к техническому обслуживанию



назначение задач с учетом географического положения



различные подходы к передаче данных

К
омандные серверы должны иметь нескольких операторо
в для управления всей сетью.
Очевидно, каждый оператор имеет собственный набор целей, так как прослеживается
корреляция между командными серверами и местоположением целей/ жертв.

Обмен данными с атакуемыми системами может быть организован по­разному и зависит от
конкретной атакуемой цели. Иногда между компьютером жертвы и командным центром
устанавливается прямое соединение. В

других случаях соединение происходит через
выделенные прокси­серверы, установленные на выделенных серверах, которые арендуются в
третьих странах. По всей видимости, эта дополнительная возможность стала реакцией на то,
что в некоторых атакуемых организация
х сетевые администраторы ограничивают или
отслеживают исходящие сетевые соединения.

Неполный перечень командных серверов демонстрирует корреляцию с географическим
местоположением жертв:

ID

Джакарта

linda.googlenow.in

ID

Джакарта


ID

Джакарта

free.googlenow.in

ID




ID

Бандунг


ID

Бандунг

telcom.dhtu.info

ID

Джакарта


JP

Токио


KH




KH

Пномпень


MM




MM




MM




MM

Янгон


MM




MM




MM



test
-
user123.vicp.cc

MY



us.googlereader.pw

MY




MY




MY



yahoo.goodns.in

MY

Путраджая

xl.findmy.pw

MY

Путраджая

xl.kevins.pw

PH

Калобкан

oraydns.googlesec.pw

PH

Калобкан

gov.yahoomail.pw

PH



pp.googledata.pw

PH



xl.findmy.pw

PH




PH



o.wm.ggpw.pw

PH



oooppp.findmy.pw

PH



cipta.kevins.pw

PH



phi.yahoomail.pw

SG

Сингапур

xl.findmy.pw

SG

Сингапур

dd.googleoffice.in

VN

Ханой


VN

Ханой

bkav.imshop.in

VN

Ханой

baomoi.coyo.eu

VN

Донг Кет

macstore.vicp.cc

VN

Ханой


VN

Ханой


VN

Ханой

baomoi.vicp.cc

VN

Ханой


VN

Бинь Дуонг


VN

Бинь Дуонг


VN

Ханой


VN

Ханой

us.googlereader.pw

VN

Ханой

yahoo.goodns.in

VN

Ханой


VN

Ханой



XSControl


«программа управления
жертвами» APTгруппировки Naikon

Командный сервер в структуре Naikon может быть специализированной п
рограммой XSControl,
которая выполняется на машине оператора. С ее помощью можно управлять всей сетью
зараженных клиентов. В некоторых случаях для туннелирования трафика жертвы на сервер
XSControl используется проксисервер. Прокси­сервер Naikon


это выдел
енный сервер,
который принимает входящие соединения с зараженных компьютеров и перенаправляет их на
C&C. В каждой атакуемой стране может быть установлен отдельный прокси­сервер Naikon для
туннелирования трафика с зараженных систем на соответствующие команд
ные сервера.

Программа XSControl написана на платформе .NET с использованием библиотеки компонентов
DevExpress:





Основные функциональные возможности XSControl:



Прием начальных запросов клиентов на установление соединения



Передача клиентам главного модуля удаленного администрирования



Использование клиентов для удаленного администрирования зараженных компьютеров
через GUI



Ведение журналов операций клиентов



Ведение журналов действий операторов



Загрузка журналов и файлов на
FTP­сервер


Ж
урналы действий операторов содержат следующую информацию:



XML­базу скачанных файлов с указанием времени операции, удаленного и локального
пути к файлам



базу данных имен файлов, ключи реестра на компьютере жертвы для файлов и
запрошенных разде
лов



историю выполненных команд






С
трана X, оператор X

Теперь рассмотрим одну кампанию Naikon, направленную на страну “X”.

Анализ показал, что кампания кибершпионажа против страны X велась на протяжении многих
лет. Компьютеры, зараженные модулями дистанционн
ого управления, предоставляли
злоумышленникам доступ к корпоративной почте сотрудников и внутренним ресурсам, а также
к содержанию личной и корпоративной почты, хранящейся на внешних сервисах.

Вот неполный перечень организаций, пострадавших от действий «оператора X» в ходе
кампании кибершпионажа Naikon в стране X:

Канцелярия президента

Вооруженные силы

Секретариат кабинета министров

Совет национальной безопасности

Генеральная прокуратура

Национальное агентство координации разведки

Управление гражданской авиации Министерство юстиции

Государственная полиция

Администрация кабинета министров / президента

Некоторые из этих организаций были основными целями и находились под постоянным
наблюдение
м в режиме реального времени. Во время мониторинга сети оператора X
злоумышленники разместили прокси­серверы Naikon внутри страны для поддержки и
маскировки исходящих соединений в режиме реального времени и скачивания данных важных
государственных организа
ций.

Чтобы получить учетные данные сотрудников, оператор X иногда использовал клавиатурных
шпионов. При необходимости он загружал их через клиента дистанционного управления.
Кроме того, для считывания нажатий клавиш злоумышленники перехватывали сетевой тра
фик.
Дальнейшее распространение вредоносного ПО происходило через копирование и удаленную
установку инструмента winpcap на настольных системах офисных сетей, содержащих
конфиденциальные данные, с последующим дистанционным созданием заданий AT для
запуска э
тих анализаторов сетевых пакетов (снифферов). Некоторые APT­группировки,
подобные Naikon, распространяют такие инструменты не в одной, а в нескольких системах,
чтобы восстановить контроль, если он был случайно потерян, и сохранить свое присутствие.

Кроме того, оператор X использовал культурные особенности атакуемых стран, например,
регулярное и широко распространенное использование для работы личных учетных записей
Gmail. Для APTгруппировки Naikon не составило труда зарегистрировать похожие почтовые
адреса и организовать адресный фишинг, рассылая своим жертвам письма с вложениями,
ссылками на сайты с вредоносным ПО или на Google Диск.

Империя наносит ответный удар

Время от времени Naikon сталкивается с другими APT­группировками, действующими в том же
регионе. Так, мы обнаружили, что Naikon стала объектом адресного фишинга со стороны
группировки,

которую мы назвали “Hellsing”.


Приложенные файлы

  • pdf 4189010
    Размер файла: 626 kB Загрузок: 0

Добавить комментарий