ナイコンAPT

Naikonは、中国に由来すると考えられているAPT（Advanced Persistent Threat）の名前です。 Naikonハッキンググループは、10年以上前、2010年に最初に発見されました。NaikonAPTは、サイバー犯罪者が使用するインフラストラクチャがマルウェア研究者によって発見された2015年に話題になりました。この博覧会のおかげで、ナイコンハッキンググループのメンバーの1人が法執行機関に捕まりました。この失言の後、サイバーセキュリティアナリストは、ナイコンAPTが廃業したと想定しました。ただし、Naikonハッキンググループは最近、Aria-bodyバックドアトロイの木馬に再び登場しました。これは、多数の機能を備えた新しい脅威です。

ナイアコン攻撃は検出を回避しようとします

Naikon APTは、政府関係者や機関を標的にする傾向があるハッキンググループです。ナイコンハッキンググループによる攻撃のほとんどは、フィリピン、ベトナム、インドネシア、ミャンマー、ブルネイ、オーストラリアに集中しています。 Naikon APTのサイバー犯罪者の標的となっている政府機関のほとんどは、通常、外交部門または科学技術産業で活動しています。政府が所有する一部の企業や企業も、NaikonAPTの標的になっていると報告されています。

Naikon APTのハッキング兵器を観察して、マルウェア研究者は、これらの個人が長期的な偵察とスパイ活動を実行する傾向があると結論付けました。これは、外国の政府や役人を標的とするハッキンググループでは非常に一般的です。前述のアリアボディハッキングツールを含む最近のナイコン作戦は、オーストラリア政府を標的にしました。 Aria-bodyバックドアトロイの木馬の目標は、データを収集し、標的となる政府にリンクされたシステムの制御を引き継ぐことでした。 2015年にNaikonAPTのメンバーの1人が逮捕された後、ハッキンググループはマルウェアアナリストによる検出を回避するために、より静かに活動を開始することを決定した可能性があります。これは、専門家を誤解させて、ナイコンのハッキンググループが引退したと信じ込ませた可能性があります。

Naikonハッキンググループは、スピアフィッシングメールを介してAria-bodyマルウェアを伝播します。問題の電子メールは、特にターゲットに疑惑を抱かせないように作成されています。偽の電子メールには、MicrosoftOfficeサービスに見られる脆弱性を悪用することを目的とした破損した添付ファイルが含まれています。

Naikonが標的型攻撃の新しいライフラインを取得

ナイコンは何年も休眠しているように見え、2015年の詳細な構造報告を受けてAPTが解散したと推測する人もいましたが、今や再び頭をもたげています。

チェック・ポイントと協力している研究者は、ナイコンが過去数年間、同じ地域、つまりアジア太平洋地域にある国や組織を継続的にターゲットにしていることを発見しました。ナイコンの攻撃を受けた地域には、オーストラリア、インドネシア、ベトナム、ブルネイ、タイ、ミャンマーが含まれます。これらの攻撃で使用された主なツールは、ナイコンのアリアボディバックドアとRATツールでした。

最近の攻撃の標的となった組織には、各国政府が所有する政府省庁や企業が含まれます。奇妙な観察は、ナイコンが外国の実体に足場を築くと、それを使用してマルウェアをさらに拡散させることです。そのような例の1つは、ホスト国の政府にマルウェアを拡散するために使用された外国大使館です。このアプローチでは、大使館内の既知の信頼できる連絡先を使用するため、侵入が容易になります。

最近の攻撃では、Aria-bodyペイロードが「TheIndianWay.doc」という名前のリッチテキスト形式のファイルを介して配信されました。このファイルは、RoyalRoadツールを使用して特定のエクスプロイトを使用するように武器化されました。リッチテキスト形式のファイルを開くと、「Intel.wll」という名前のファイルがドロップされます。このファイルは、リモートドメインから第2段階のペイロードをダウンロードしようとするローダーとして機能します。

専門家は、ナイコンの攻撃の目的は情報を収集し、政府をスパイすることであると信じています。 Naikon APTの背後にいる悪意のある人物は、感染したシステム上のファイルにアクセスしたり、キーストロークをログに記録したり、スクリーンショットを撮ったりすることができます。 APTが最近の活動の検出を長い間回避した理由の一部は、Naikonがすでに侵害された政府のサーバーをコマンドアンドコントロールポイントとして使用したことです。

ナイコンAPTはまだ手袋をはめていません。ただし、サイバー詐欺師は、サイバーセキュリティ研究者の監視下にとどまるためにいくつかの対策を講じています。

ナイコンAPTターゲット

最近の攻撃を数年前の攻撃と比較すると、NaikonAPTが引き続き同じ地域を標的にしていることがわかります。前述のように、5年前の標的にはアジア太平洋地域全体の政府が含まれており、最近の攻撃でも同じように見えます。

このグループについて注目すべき興味深い点の1つは、さまざまな政府でゆっくりと足場を広げていることです。このグループは、別の政府に感染しようとして、違反した政府から攻撃を仕掛けることによってこれを行います。外国大使館が無意識のうちに受入国の政府に感染した書類を送った事例が1件ありました。この事件は、ハッカーが信頼できる連絡先を悪用して新しいターゲットに侵入し、スパイネットワークをさらに開発していることを示しています。

Naikon APTの機能と標的を考えると、攻撃の背後にある目的は、標的となる政府をスパイし、それらに関する情報を収集することであることが明らかになります。このグループは、政府機関内のターゲットから特定のドキュメントを収集し、リムーバブルドライブからデータを取得し、感染したコンピューターのスクリーンショットを収集し、盗んだデータをスパイ活動に使用しています。

それだけでは不十分な場合、Naikon APTは、政府のネットワークを通過する際の検出を回避することに長けていることが証明されています。このグループは、感染した省内のサーバーを危険にさらし、それらのコンピューターをコマンドおよび制御サーバーとして使用して、盗まれたデータを収集および送信することによってこれを行います。この感染方法のおかげで、それらを追跡することはほとんど不可能です。これは、彼らが5年間検出を回避することができた方法の1つでした。

アリア-体の感染連鎖

調査によると、このグループには、コンピューターをAria-Bodyに感染させるいくつかの異なる方法があります。このグループの調査は、オーストラリアの州政府にこの地域の政府大使館から送信された悪意のある電子メールを研究者が発見したときに始まりました。感染した文書は「TheIndiansWay」と呼ばれ、RTFファイルでした。このファイルは、intel.wllローダーをコンピューターのWordフォルダーにドロップするRoyalRoadエクスプロイトビルダーで武器化されました。ローダーは、spool.jtjewifyn [。] comから感染の次の段階をダウンロードして実行しようとします。

ハッカーがRoyalRoadマルウェアを使用して最終的な配信を行ったのはこれが初めてではありません。 Vicious Pandaなどの他のATPグループも、RoyalRoad配信方法を使用しています。 Naikonは、悪意のあるDLLファイルがロードされた正当なファイルを含むアーカイブファイルを使用していることも確認されています。この方法では、Outlookおよびその他の正当な実行可能ファイルを利用して、ターゲットに対してサイバー攻撃を実行します。 Naikon APTは、明白な視界に隠れることに非常に熟練しているようです。

ナイコンのファーストステージローダー

Aria-body RATが展開される前に、第1ステージのローダーが感染したシステムでいくつかのタスクを実行します。ローダーは、多くの場合スタートアップフォルダーを使用して、被害者のマシンでの永続性を確保する責任があります。次に、ペイロードはそれ自体を別のプロセスに挿入します。対象となるプロセスの例としては、dllhost.exeとrundll32.exeがあります。ローダーはその構成を復号化し、C＆Cに接続して、次のステージのペイロードであるAria-body RATをダウンロードします。これは、復号化されてロードされます。

ナイコンのアリアボディプロセスパス

アリアボディを詳しく見る

Naikonが最近行った攻撃では、APTがその目的のために開発したと思われるAria-bodyカスタムRATが再び使用されました。ペイロードのファイル名は、研究者がその名前に使用したものです--aria-body-dllx86.dll。カスタムRATには、他のほとんどのRATに見られる機能があります。

• ファイルとディレクトリの操作
• スクリーンショットを撮る
• ファイルの検索
• ShellExecute関数を使用してファイルを起動する
• TCPセッションを閉じる
• Amazonの「checkip」サービスを使用して被害者のシステムの場所を確認する

研究者は、次の機能のいくつかも備えているAria-bodyのさまざまなインスタンスを発見しました。

• USBデータの収集
• キーストロークロガー
• リバースソックスプロキシ

Aria-bodyの最初のタスクは、被害者のシステムに関するできるだけ多くの情報を収集することです。収集される詳細には、ホスト名、ユーザー名、OSバージョン、CPU頻度、MachineGUIDキー、およびパブリックIPアドレスが含まれます。収集されたデータのチャンクは、ランダムに生成されたパスワードで圧縮され、暗号化されます。

RATは、HTTPまたはTCPのいずれかを使用してC＆Cサーバーと通信できます。使用されるプロトコルは、ローダーの構成のフラグによって決定されます。被害者のzip形式のシステムデータは、暗号化されたアーカイブパスワードとともにC＆Cに転送されます。転送が完了すると、RATは着信コマンドのC＆Cのリッスンを開始します。