Home → Zagrożenia → Grupa APT Naikon
Jeden z naszych ostatnich raportów pt. „Kroniki Hellsinga: Imperium kontratakuje” rozpoczął się od przedstawienia ugrupowania APT Naikon, określając je jako „jedną z najaktywniejszych grup APT w Azji, zwłaszcza wokół Morza Południowochińskiego”. Naikon został wspomniany ze względu na jego rolę w nietypowej i zaskakującej historii o rewanżu. Na ugrupowanie APT Hellsing po raz pierwszy natknęliśmy się w związku z atakiem Naikon na organizację powiązaną z Hellsingiem. Biorąc pod uwagę poziom zaobserwowanej aktywności grupy Naikon oraz jej nieustające, powtarzające się próby ataków, stwierdziliśmy, że warto przyjrzeć się bliżej tej konfrontacji, co też zrobiliśmy.
Ugrupowanie APT Naikon współdziała z grupą, którą nasi koledzy z FireEye zidentyfikowali niedawno jako APT30. My jednak nie wykryliśmy żadnych ścisłych związków. Zbieżność między tymi grupami nie jest zaskoczeniem, zważywszy na to, że obie przez lata monitorowały ofiary w rejonie Morza Południowochińskiego, najwidoczniej w poszukiwaniu geopolitycznych danych wywiadowczych.
Raport dotyczący ugrupowania Naikon zostanie uzupełniony o kolejny raport badający grupę TTP Naikon oraz intensywną aktywność związaną z atakami wokół Morza Południowochińskiego, która trwała od co najmniej 2010 r.
Istotne operacyjne i logistyczne cechy charakterystyczne tej grupy APT:
Wysoce skuteczna i skoncentrowana wokół Morza Południowochińskiego operacja APT
Wiosną 2014 r. odnotowaliśmy wzrost intensywności ataków przeprowadzanych przez ugrupowanie APT Naikon. Osoby atakujące były chińskojęzyczne, a ich celami były głównie agencje rządowe najwyższego szczebla oraz organizacje cywilne i wojskowe w takich krajach jak Filipiny, Malezja, Kambodża, Indonezja, Wietnam, Birma, Singapur, Nepal, Tajlandia, Laos oraz Chiny.
Przynęta
Atak zwykle rozpoczyna się od wiadomości e-mail zawierającej załącznik, w którym znajdują się informacje mogące zainteresować potencjalną ofiarę. Dokument może opierać się na informacjach pochodzących z otwartych źródeł lub na poufnych informacjach skradzionych z innych zainfekowanych systemów.
Ten dokument-przynęta, lub załącznik do wiadomości e-mail, przypomina dokument Worda, w rzeczywistości jednak jest to plik wykonywalny z podwójnym rozszerzeniem wykorzystujący lukę CVE-2012-0158, dzięki czemu wielu użytkowników może nieświadomie aktywować szkodliwy kod. Po uruchomieniu pliku wykonywalnego na komputerze ofiary zostaje zainstalowane oprogramowanie spyware, a użytkownikowi wyświetlany jest dokument-przynęta, przez co myśli on, że po prostu otworzył załącznik e-maila.
Konfiguracja
Narzędzie Naikona generuje specjalny, niewielki, zaszyfrowany plik o rozmiarze 8 000 bajtów i zawiera niezależny od platformy kod, który ma zostać wstrzyknięty do przeglądarki wraz z danymi dotyczącymi konfiguracji. Z pomocą modułu rozruchowego cały plik jest wstrzykiwany do pamięci przeglądarki i deszyfruje blok konfiguracji, który zawiera informacje o:
Ten sam kod pobiera następnie swoje główne ciało z serwera kontroli (C&C) przy użyciu protokołu SSL, ładuje je niezależnie od funkcji systemu operacyjnego i - bez zapisywania na dysku twardym - przekazuje kontrolę do funkcji XS02. Cała funkcjonalność jest obsługiwana w pamięci.

Szkodliwa funkcja
Główny moduł stanowi narzędzie zdalnej administracji. Przy użyciu protokołu SSL moduł ustanawia połączenie z serwerem kontroli (C&C) w następujący sposób: nawiązuje połączenie wychodzące z serwerem kontroli i sprawdza, czy istnieje polecenie, które powinien wykonać. Jeśli tak, wykonuje je i zwraca wynik do serwera kontroli. Repertuar modułu składa się z 48 poleceń, które zdalny operator może wykorzystać do skutecznego kontrolowania komputera ofiary. Obejmuje to przeprowadzanie pełnej inwentaryzacji, pobieranie i wrzucanie danych, instalowanie modułów dodatkowych lub pracę z poziomu wiersza poleceń.
Poniżej pełna lista poleceń:
|
0 |
CMD_MAIN_INFO |
|
1 |
CMD_PROCESS_REFRESH |
|
2 |
CMD_PROCESS_NAME |
|
3 |
CMD_PROCESS_KILL |
|
4 |
CMD_PROCESS_MODULE |
|
5 |
CMD_DRIVE_REFRESH |
|
6 |
CMD_DIRECTORY |
|
7 |
CMD_DIRECTORY_CREATE |
|
8 |
CMD_DIRECTORY_CREATE_HIDDEN |
|
9 |
CMD_DIRECTORY_DELETE |
|
10 |
CMD_DIRECTORY_RENAME |
|
11 |
CMD_DIRECOTRY_DOWNLOAD |
|
12 |
CMD_FILE_REFRESH |
|
13 |
CMD_FILE_DELETE |
|
14 |
CMD_FILE_RENAME |
|
15 |
CMD_FILE_EXECUTE_NORMAL |
|
16 |
CMD_FILE_EXECUTE_HIDDEN |
|
17 |
CMD_FILE_EXECUTE_NORMAL_CMD |
|
18 |
CMD_FILE_EXECUTE_HIDDEN_CMD |
|
19 |
CMD_FILE_UPLOAD |
|
20 |
CMD_FILE_DOWNLOAD |
|
21 |
CMD_WINDOWS_INFO |
|
22 |
CMD_WINDOWS_MESSAGE |
|
23 |
CMD_SHELL_OPEN |
|
24 |
CMD_SHELL_CLOSE |
|
25 |
CMD_SHELL_WRITE |
|
26 |
CMD_SERVICE_REFRESH |
|
27 |
CMD_SERVICE_CONTROL |
|
28 |
CMD_PROGRAM_INFO |
|
29 |
CMD_UNINSTALL_PROGRAM |
|
30 |
CMD_REGESTRY_INFO |
|
31 |
CMD_ADD_AUTO_START |
|
32 |
CMD_MY_PLUGIN |
|
33 |
CMD_3RD_PLUGIN |
|
34 |
CMD_REG_CREATEKEY |
|
35 |
CMD_REG_DELETEKEY |
|
36 |
CMD_REG_SETVALUE |
|
37 |
CMD_REG_DELETEVALUE |
|
38 |
CMD_SELF_KILL |
|
39 |
CMD_SELF_RESTART |
|
40 |
CMD_SELF_CONFIG |
|
41 |
CMD_SELF_UPDATE |
|
42 |
CMD_SERVER_INFO |
|
43 |
CMD_INSTALL_SERVICE |
|
44 |
CMD_FILE_DOWNLOAD2 |
|
45 |
CMD_RESET |
|
46 |
CMD_CONNECTION_TABLE |
|
47 |
|
|
48 |
|
|
49 |
CMD_HEART_BEAT |
Istnieje kilka modyfikacji głównego modułu. Nie ma między nimi zasadniczych różnic – do najnowszych wersji zostają po prostu dodane dodatkowe funkcje, takie jak kompresowanie czy szyfrowanie przesyłanych danych lub stopniowe pobieranie dużych plików.
|
d085ba82824c1e61e93e113a705b8e9a |
118272 |
23.08.2012, 18:46:57 |
|
b4a8dc9eb26e727eafb6c8477963829c |
140800 |
20.05.2013, 11:56:38 |
|
172fd9cce78de38d8cbcad605e3d6675 |
118784 |
13.06.2013, 12:14:40 |
|
74a7e7a4de0da503472f1f051b68745 |
190464 |
19.08.2013, 05:30:12 |
|
93e84075bef7a11832d9c5aa70135dc6 |
154624 |
07.01.2014, 04:39:43 |
CC-Proxy-Op
Operacje serwera kontroli charakteryzują się:
Serwery kontroli wymagały jedynie kilku operacji w celu zarządzania całą siecią. Każdy operator koncentrował się na określonej grupie celów, ponieważ pomiędzy serwerem kontroli a lokalizacją celów/ofiar istnieje korelacja.
Komunikacja z systemami ofiar zmieniała się w zależności od celu. W niektórych przypadkach, pomiędzy komputerem ofiary a systemem operacyjnym nawiązywane było bezpośrednie połączenie. W innych przypadkach, połączenie było ustanawiane za pośrednictwem wyspecjalizowanych serwerów proxy zainstalowanych na serwerach wynajmowanych w niepowiązanych państwach. Ten dodatkowy zabieg stanowił prawdopodobnie reakcję na ograniczanie lub monitorowanie przez administratorów sieci połączeń wychodzących z ich organizacji.
Poniżej znajduje się lista serwerów kontroli oraz lokalizacji ofiar ukazująca korelację geograficzną:
|
ID |
Jakarta |
linda.googlenow.in |
|
ID |
Jakarta |
admin0805.gnway.net |
|
ID |
Jakarta |
free.googlenow.in |
|
ID |
|
frankhere.oicp.net |
|
ID |
Bandung |
frankhere.oicp.net |
|
ID |
Bandung |
telcom.dhtu.info |
|
ID |
Jakarta |
laotel08.vicp.net |
|
JP |
Tokyo |
greensky27.vicp.net |
|
KH |
|
googlemm.vicp.net |
|
KH |
Phnom Penh |
googlemm.vicp.net |
|
MM |
|
peacesyou.imwork.net |
|
MM |
|
sayakyaw.xicp.net |
|
MM |
|
ubaoyouxiang.gicp.net |
|
MM |
Yangon |
htkg009.gicp.net |
|
MM |
|
kyawthumyin.xicp.net |
|
MM |
|
myanmartech.vicp.net |
|
MM |
|
test-user123.vicp.cc |
|
MY |
|
us.googlereader.pw |
|
MY |
|
net.googlereader.pw |
|
MY |
|
lovethai.vicp.net |
|
MY |
|
yahoo.goodns.in |
|
MY |
Putrajaya |
xl.findmy.pw |
|
MY |
Putrajaya |
xl.kevins.pw |
|
PH |
Caloocan |
oraydns.googlesec.pw |
|
PH |
Caloocan |
gov.yahoomail.pw |
|
PH |
|
pp.googledata.pw |
|
PH |
|
xl.findmy.pw |
|
PH |
|
mlfjcjssl.gicp.net |
|
PH |
|
o.wm.ggpw.pw |
|
PH |
|
oooppp.findmy.pw |
|
PH |
|
cipta.kevins.pw |
|
PH |
|
phi.yahoomail.pw |
|
SG |
Singapore |
xl.findmy.pw |
|
SG |
Singapore |
dd.googleoffice.in |
|
VN |
Hanoi |
moziliafirefox.wicp.net |
|
VN |
Hanoi |
bkav.imshop.in |
|
VN |
Hanoi |
baomoi.coyo.eu |
|
VN |
Dong Ket |
macstore.vicp.cc |
|
VN |
Hanoi |
downloadwindows.imwork.net |
|
VN |
Hanoi |
vietkey.xicp.net |
|
VN |
Hanoi |
baomoi.vicp.cc |
|
VN |
Hanoi |
downloadwindow.imwork.net |
|
VN |
Binh Duong |
|
|
VN |
Binh Duong |
vietlex.gnway.net |
|
VN |
Hanoi |
|
|
VN |
Hanoi |
us.googlereader.pw |
|
VN |
Hanoi |
yahoo.goodns.in |
|
VN |
Hanoi |
lovethai.vicp.net |
|
VN |
Hanoi |
vietlex.gnway.net |
XSControl – „oprogramowanie do zarządzania ofiarami” ugrupowania APT Naikon
W operacjach ugrupowania Naikon serwer kontroli to wyspecjalizowane oprogramowanie XSControl działające na maszynie operatora. Może być wykorzystywane do zarządzania całą siecią zainfekowanych klientów. W niektórych przypadkach, serwer proxy jest wykorzystywany w celu tunelowania ruchu ofiary do serwera XSControl. Serwer proxy ugrupowania Naikon to wyspecjalizowany serwer, który przyjmuje połączenia przychodzące z komputerów ofiar i przekierowuje je na komputer operatora. Taki serwer można skonfigurować w państwie docelowym, aby tunelował ruch z systemów ofiar do powiązanych serwerów kontroli.
XSControl został napisany w języku .NET przy użyciu DevExpress. Jego główne możliwości to:
Logi aktywności operatora zawierają:
Państwo X / Operator X
Przeanalizujmy jeden z ataków grupy Naikon na przykładzie państwa „X”.
Z analizy wynika, że kampania cyberszpiegowska przeciwko państwu X trwa od wielu lat. Komputery zainfekowane modułami zdalnej kontroli zapewniały osobom atakującym dostęp do poczty firmowej i zasobów wewnętrznych pracowników, jak również dostęp do zawartości poczty firmowej i prywatnej przechowywanej w serwisach zewnętrznych.
Poniżej znajduje się częściowa lista organizacji dotkniętych kampanią szpiegowską „operatora X” ugrupowania Naikon w państwie X:
Kilka z tych organizacji stanowiło kluczowe cele i było poddanych ciągłemu monitoringowi w czasie rzeczywistym. Podczas monitoringu sieci przez operatora X osoby atakujące rozmieściły serwery proxy ugrupowania Naikon w granicach państw, aby ukryć i obsługiwać połączenia wychodzące w czasie rzeczywistym oraz wydobywać dane z atakowanych organizacji.
W celu uzyskania danych uwierzytelniających pracowników operator X wykorzystywał niekiedy keyloggery. W razie potrzeby, dostarczał je za pośrednictwem klienta zdalnej kontroli. Oprócz przechwytywania uderzeń klawiszy osoba atakująca przechwytywała również ruch sieciowy. Aktywność obejmowała również kopiowanie i zdalną instalację winpcap w systemach wewnątrz wrażliwych sieci biurowych, a następnie zdalną konfigurację zadań w celu uruchomienia snifferów sieciowych. Niektóre grupy APT, takie jak Naikon, rozprzestrzeniają tego rodzaju narzędzia w różnych systemach w celu odzyskania kontroli w razie jej przypadkowej awarii.
Operator X wykorzystywał również specyfikę kulturową w swoich krajach docelowych, np. regularne i powszechnie akceptowane wykorzystywanie prywatnych kont Gmail do celów związanych z pracą. Dlatego ugrupowanie APT Naikon bez trudu zarejestrowało podobnie wyglądające adresy e-mail oraz wysłało swoim celom e-maile typu spear-phishing, odsyłacze do stron infekujących szkodliwym oprogramowaniem oraz odsyłacze do plików przechowywanych na Dysku Google.
Imperium kontratakuje
Co jakiś czas grupa Naikon ściera się z innymi ugrupowaniami APT, które również są aktywne w regionie. W szczególności zauważyliśmy, że opisywane ugrupowanie stało się celem ataku typu spear-phishing przeprowadzonego przez grupę o Hellsing. Więcej informacji na temat potyczek między grupami Naikon i Hellsing można znaleźć w naszym serwisie: http://www.securelist.pl/analysis/7309,kroniki_hellsinga_imperium_kontratakuje.html.
Analizy
Blog