Grupa APT Naikon

Jeden z naszych ostatnich raport贸w pt. "Kroniki Hellsinga: Imperium kontratakuje" rozpocz膮艂 si臋 od przedstawienia ugrupowania APT Naikon, okre艣laj膮c je jako "jedn膮 z najaktywniejszych grup APT w Azji, zw艂aszcza wok贸艂 Morza Po艂udniowochi艅skiego". Naikon zosta艂 wspomniany ze wzgl臋du na jego rol臋 w nietypowej i zaskakuj膮cej historii o rewan偶u. Na ugrupowanie APT Hellsing po raz pierwszy natkn臋li艣my si臋 w zwi膮zku z atakiem Naikon na organizacj臋 powi膮zan膮 z Hellsingiem. Bior膮c pod uwag臋 poziom zaobserwowanej aktywno艣ci grupy Naikon oraz jej nieustaj膮ce, powtarzaj膮ce si臋 pr贸by atak贸w, stwierdzili艣my, 偶e warto przyjrze膰 si臋 bli偶ej tej konfrontacji, co te偶 zrobili艣my.        

Ugrupowanie APT Naikon wsp贸艂dzia艂a z grup膮, kt贸r膮 nasi koledzy z FireEye zidentyfikowali niedawno jako APT30. My jednak nie wykryli艣my 偶adnych 艣cis艂ych zwi膮zk贸w. Zbie偶no艣膰 mi臋dzy tymi grupami nie jest zaskoczeniem, zwa偶ywszy na to, 偶e obie przez lata monitorowa艂y ofiary w rejonie Morza Po艂udniowochi艅skiego, najwidoczniej w poszukiwaniu geopolitycznych danych wywiadowczych.   

Raport dotycz膮cy ugrupowania Naikon zostanie uzupe艂niony o kolejny raport badaj膮cy grup臋 TTP Naikon oraz intensywn膮 aktywno艣膰 zwi膮zan膮 z atakami wok贸艂 Morza Po艂udniowochi艅skiego, kt贸ra trwa艂a od co najmniej 2010 r.

Istotne operacyjne i logistyczne cechy charakterystyczne tej grupy APT:

  • Co najmniej pi臋膰 lat intensywnej, publicznej aktywno艣ci zwi膮zanej z atakami geopolitycznymi.
  • Orientacja geograficzna - wed艂ug pa艅stwa, wyznaczanie okre艣lonego operatora oraz istnienie serwera proxy.
  • Dynamiczna, dobrze zorganizowana infrastruktura.
  • Wykorzystywanie stworzonego na zewn膮trz, rozbudowanego zestawu narz臋dzi sk艂adaj膮cych si臋 na w pe艂ni funkcjonalnego backdoora, oraz konstruktora exploit贸w.
  • Wysoki wsp贸艂czynnik skuteczno艣ci infiltrowania organizacji narodowych w krajach rejonu Azja Pacyfik.

Wysoce skuteczna i skoncentrowana wok贸艂 Morza Po艂udniowochi艅skiego operacja APT

Wiosn膮 2014 r. odnotowali艣my wzrost intensywno艣ci atak贸w przeprowadzanych przez ugrupowanie APT Naikon. Osoby atakuj膮ce by艂y chi艅skoj臋zyczne, a ich celami by艂y g艂贸wnie agencje rz膮dowe najwy偶szego szczebla oraz organizacje cywilne i wojskowe w takich krajach jak Filipiny, Malezja, Kambod偶a, Indonezja, Wietnam, Birma, Singapur, Nepal, Tajlandia, Laos oraz Chiny. 

klp_naikon_ofiary_auto.jpg

Przyn臋ta

Atak zwykle rozpoczyna si臋 od wiadomo艣ci e-mail zawieraj膮cej za艂膮cznik, w kt贸rym znajduj膮 si臋 informacje mog膮ce zainteresowa膰 potencjaln膮 ofiar臋. Dokument mo偶e opiera膰 si臋 na informacjach pochodz膮cych z otwartych 藕r贸de艂 lub na poufnych informacjach skradzionych z innych zainfekowanych system贸w.  

Ten dokument-przyn臋ta, lub za艂膮cznik do wiadomo艣ci e-mail, przypomina dokument Worda, w rzeczywisto艣ci jednak jest to plik wykonywalny z podw贸jnym rozszerzeniem wykorzystuj膮cy luk臋 CVE-2012-0158, dzi臋ki czemu wielu u偶ytkownik贸w mo偶e nie艣wiadomie aktywowa膰 szkodliwy kod. Po uruchomieniu pliku wykonywalnego na komputerze ofiary zostaje zainstalowane oprogramowanie spyware, a u偶ytkownikowi wy艣wietlany jest dokument-przyn臋ta, przez co my艣li on, 偶e po prostu otworzy艂 za艂膮cznik e-maila.      

Konfiguracja

Narz臋dzie Naikona generuje specjalny, niewielki, zaszyfrowany plik o rozmiarze 8 000 bajt贸w i zawiera niezale偶ny od platformy kod, kt贸ry ma zosta膰 wstrzykni臋ty do przegl膮darki wraz z danymi dotycz膮cymi konfiguracji. Z pomoc膮 modu艂u rozruchowego ca艂y plik jest wstrzykiwany do pami臋ci przegl膮darki i deszyfruje blok konfiguracji, kt贸ry zawiera informacje o: 

  • serwerze kontroli (C&C),
  • portach i 艣cie偶ce do serwera,
  • nazwach plik贸w i 艣cie偶kach komponent贸w,
  • sumach kontrolnych funkcji API u偶ytkownika.

 Ten sam kod pobiera nast臋pnie swoje g艂贸wne cia艂o z serwera kontroli (C&C) przy u偶yciu protoko艂u SSL, 艂aduje je niezale偶nie od funkcji systemu operacyjnego i - bez zapisywania na dysku twardym - przekazuje kontrol臋 do funkcji XS02. Ca艂a funkcjonalno艣膰 jest obs艂ugiwana w pami臋ci.

naikon_2_auto.png

Szkodliwa funkcja

G艂贸wny modu艂 stanowi narz臋dzie zdalnej administracji. Przy u偶yciu protoko艂u SSL modu艂 ustanawia po艂膮czenie z serwerem kontroli (C&C) w nast臋puj膮cy spos贸b: nawi膮zuje po艂膮czenie wychodz膮ce z serwerem kontroli i sprawdza, czy istnieje polecenie, kt贸re powinien wykona膰. Je艣li tak, wykonuje je i zwraca wynik do serwera kontroli. Repertuar modu艂u sk艂ada si臋 z 48 polece艅, kt贸re zdalny operator mo偶e wykorzysta膰 do skutecznego kontrolowania komputera ofiary. Obejmuje to przeprowadzanie pe艂nej inwentaryzacji, pobieranie i wrzucanie danych, instalowanie modu艂贸w dodatkowych lub prac臋 z poziomu wiersza polece艅.

Poni偶ej pe艂na lista polece艅:

0

CMD_MAIN_INFO

1

CMD_PROCESS_REFRESH

2

CMD_PROCESS_NAME

3

CMD_PROCESS_KILL

4

CMD_PROCESS_MODULE

5

CMD_DRIVE_REFRESH

6

CMD_DIRECTORY

7

CMD_DIRECTORY_CREATE

8

CMD_DIRECTORY_CREATE_HIDDEN

9

CMD_DIRECTORY_DELETE

10

CMD_DIRECTORY_RENAME

11

CMD_DIRECOTRY_DOWNLOAD

12

CMD_FILE_REFRESH

13

CMD_FILE_DELETE

14

CMD_FILE_RENAME

15

CMD_FILE_EXECUTE_NORMAL

16

CMD_FILE_EXECUTE_HIDDEN

17

CMD_FILE_EXECUTE_NORMAL_CMD

18

CMD_FILE_EXECUTE_HIDDEN_CMD

19

CMD_FILE_UPLOAD

20

CMD_FILE_DOWNLOAD

21

CMD_WINDOWS_INFO

22

CMD_WINDOWS_MESSAGE

23

CMD_SHELL_OPEN

24

CMD_SHELL_CLOSE

25

CMD_SHELL_WRITE

26

CMD_SERVICE_REFRESH

27

CMD_SERVICE_CONTROL

28

CMD_PROGRAM_INFO

29

CMD_UNINSTALL_PROGRAM

30

CMD_REGESTRY_INFO

31

CMD_ADD_AUTO_START

32

CMD_MY_PLUGIN

33

CMD_3RD_PLUGIN

34

CMD_REG_CREATEKEY

35

CMD_REG_DELETEKEY

36

CMD_REG_SETVALUE

37

CMD_REG_DELETEVALUE

38

CMD_SELF_KILL

39

CMD_SELF_RESTART

40

CMD_SELF_CONFIG

41

CMD_SELF_UPDATE

42

CMD_SERVER_INFO

43

CMD_INSTALL_SERVICE

44

CMD_FILE_DOWNLOAD2

45

CMD_RESET

46

CMD_CONNECTION_TABLE

47

 

48

 

49

CMD_HEART_BEAT

Istnieje kilka modyfikacji g艂贸wnego modu艂u. Nie ma mi臋dzy nimi zasadniczych r贸偶nic - do najnowszych wersji zostaj膮 po prostu dodane dodatkowe funkcje, takie jak kompresowanie czy szyfrowanie przesy艂anych danych lub stopniowe pobieranie du偶ych plik贸w.

d085ba82824c1e61e93e113a705b8e9a

118272

23.08.2012, 18:46:57

b4a8dc9eb26e727eafb6c8477963829c

140800

20.05.2013, 11:56:38

172fd9cce78de38d8cbcad605e3d6675

118784

13.06.2013, 12:14:40

74a7e7a4de0da503472f1f051b68745

190464

19.08.2013, 05:30:12

93e84075bef7a11832d9c5aa70135dc6

154624

07.01.2014, 04:39:43

CC-Proxy-Op

Operacje serwera kontroli charakteryzuj膮 si臋:

  • niewielkimi wymaganiami dotycz膮cymi utrzymania,
  • zorganizowanym przydzielaniem zada艅 zale偶nym od lokalizacji geograficznej,
  • r贸偶nymi podej艣ciami do komunikacji.

Serwery kontroli wymaga艂y jedynie kilku operacji w celu zarz膮dzania ca艂膮 sieci膮. Ka偶dy operator koncentrowa艂 si臋 na okre艣lonej grupie cel贸w, poniewa偶 pomi臋dzy serwerem kontroli a lokalizacj膮 cel贸w/ofiar istnieje korelacja. 

Komunikacja z systemami ofiar zmienia艂a si臋 w zale偶no艣ci od celu. W niekt贸rych przypadkach, pomi臋dzy komputerem ofiary a systemem operacyjnym nawi膮zywane by艂o bezpo艣rednie po艂膮czenie. W innych przypadkach, po艂膮czenie by艂o ustanawiane za po艣rednictwem wyspecjalizowanych serwer贸w proxy zainstalowanych na serwerach wynajmowanych w niepowi膮zanych pa艅stwach. Ten dodatkowy zabieg stanowi艂 prawdopodobnie reakcj臋 na ograniczanie lub monitorowanie przez administrator贸w sieci po艂膮cze艅 wychodz膮cych z ich organizacji.

Poni偶ej znajduje si臋 lista serwer贸w kontroli oraz lokalizacji ofiar ukazuj膮ca korelacj臋 geograficzn膮:

ID

Jakarta

linda.googlenow.in

ID

Jakarta

admin0805.gnway.net

ID

Jakarta

free.googlenow.in

ID

 

frankhere.oicp.net

ID

Bandung

frankhere.oicp.net

ID

Bandung

telcom.dhtu.info

ID

Jakarta

laotel08.vicp.net

JP

Tokyo

greensky27.vicp.net

KH

 

googlemm.vicp.net

KH

Phnom Penh

googlemm.vicp.net

MM

 

peacesyou.imwork.net

MM

 

sayakyaw.xicp.net

MM

 

ubaoyouxiang.gicp.net

MM

Yangon

htkg009.gicp.net

MM

 

kyawthumyin.xicp.net

MM

 

myanmartech.vicp.net

MM

 

test-user123.vicp.cc

MY

 

us.googlereader.pw

MY

 

net.googlereader.pw

MY

 

lovethai.vicp.net

MY

 

yahoo.goodns.in

MY

Putrajaya

xl.findmy.pw

MY

Putrajaya

xl.kevins.pw

PH

Caloocan

oraydns.googlesec.pw

PH

Caloocan

gov.yahoomail.pw

PH

 

pp.googledata.pw

PH

 

xl.findmy.pw

PH

 

mlfjcjssl.gicp.net

PH

 

o.wm.ggpw.pw

PH

 

oooppp.findmy.pw

PH

 

cipta.kevins.pw

PH

 

phi.yahoomail.pw

SG

Singapore

xl.findmy.pw

SG

Singapore

dd.googleoffice.in

VN

Hanoi

moziliafirefox.wicp.net

VN

Hanoi

bkav.imshop.in

VN

Hanoi

baomoi.coyo.eu

VN

Dong Ket

macstore.vicp.cc

VN

Hanoi

downloadwindows.imwork.net

VN

Hanoi

vietkey.xicp.net

VN

Hanoi

baomoi.vicp.cc

VN

Hanoi

downloadwindow.imwork.net

VN

Binh Duong

www.ttxvn.net

VN

Binh Duong

vietlex.gnway.net

VN

Hanoi

www.ttxvn.net

VN

Hanoi

us.googlereader.pw

VN

Hanoi

yahoo.goodns.in

VN

Hanoi

lovethai.vicp.net

VN

Hanoi

vietlex.gnway.net

 

XSControl - "oprogramowanie do zarz膮dzania ofiarami" ugrupowania APT Naikon

W operacjach ugrupowania Naikon serwer kontroli to wyspecjalizowane oprogramowanie XSControl dzia艂aj膮ce na maszynie operatora. Mo偶e by膰 wykorzystywane do zarz膮dzania ca艂膮 sieci膮 zainfekowanych klient贸w. W niekt贸rych przypadkach, serwer proxy jest wykorzystywany w celu tunelowania ruchu ofiary do serwera XSControl. Serwer proxy ugrupowania Naikon to wyspecjalizowany serwer, kt贸ry przyjmuje po艂膮czenia przychodz膮ce z komputer贸w ofiar i przekierowuje je na komputer operatora. Taki serwer mo偶na skonfigurowa膰 w pa艅stwie docelowym, aby tunelowa艂 ruch z system贸w ofiar do powi膮zanych serwer贸w kontroli. 

XSControl zosta艂 napisany w j臋zyku .NET przy u偶yciu DevExpress. Jego g艂贸wne mo偶liwo艣ci to:

  • akceptowanie po艂膮cze艅 pocz膮tkowych od klient贸w,
  • dostarczanie klientom g艂贸wnego modu艂u zdalnej administracji,
  • umo偶liwianie im zdalnego administrowania zainfekowanymi komputerami przy pomocy interfejsu graficznego (GUI),
  • prowadzenie log贸w aktywno艣ci klient贸w,
  • prowadzenie log贸w aktywno艣ci operatora,
  • wysy艂anie log贸w i plik贸w na serwer FTP.

Logi aktywno艣ci operatora zawieraj膮:

  • baz臋 XML pobranych plik贸w okre艣laj膮c膮 czas wykonania operacji, 艣cie偶k臋 zdaln膮 oraz 艣cie偶k臋 lokaln膮,
  • baz臋 danych nazw plik贸w, kluczy rejestru komputera ofiary dla folder贸w i sekcji 偶膮danych przez operatora,
  • histori臋 wykonanych polece艅.

Pa艅stwo X / Operator X

Przeanalizujmy jeden z atak贸w grupy Naikon na przyk艂adzie pa艅stwa "X".

Z analizy wynika, 偶e kampania cyberszpiegowska przeciwko pa艅stwu X trwa od wielu lat. Komputery zainfekowane modu艂ami zdalnej kontroli zapewnia艂y osobom atakuj膮cym dost臋p do poczty firmowej i zasob贸w wewn臋trznych pracownik贸w, jak r贸wnie偶 dost臋p do zawarto艣ci poczty firmowej i prywatnej przechowywanej w serwisach zewn臋trznych.

Poni偶ej znajduje si臋 cz臋艣ciowa lista organizacji dotkni臋tych kampani膮 szpiegowsk膮 "operatora X" ugrupowania Naikon w pa艅stwie X:

  • biuro prezydenta,
  • si艂y zbrojne,
  • biuro sekretarza gabinetu,
  • rada bezpiecze艅stwa narodowego,
  • biuro prokuratora generalnego,
  • krajowa agencja ds. koordynacji informacji wywiadowczych,
  • agencja ds. lotnictwa cywilnego,
  • departament sprawiedliwo艣ci,
  • policja federalna,
  • sztab wykonawczy/administracji prezydenckiej i zarz膮dzania.

Kilka z tych organizacji stanowi艂o kluczowe cele i by艂o poddanych ci膮g艂emu monitoringowi w czasie rzeczywistym. Podczas monitoringu sieci przez operatora X osoby atakuj膮ce rozmie艣ci艂y serwery proxy ugrupowania Naikon w granicach pa艅stw, aby ukry膰 i obs艂ugiwa膰 po艂膮czenia wychodz膮ce w czasie rzeczywistym oraz wydobywa膰 dane z atakowanych organizacji.  

W celu uzyskania danych uwierzytelniaj膮cych pracownik贸w operator X wykorzystywa艂 niekiedy keyloggery. W razie potrzeby, dostarcza艂 je za po艣rednictwem klienta zdalnej kontroli. Opr贸cz przechwytywania uderze艅 klawiszy osoba atakuj膮ca przechwytywa艂a r贸wnie偶 ruch sieciowy. Aktywno艣膰 obejmowa艂a r贸wnie偶 kopiowanie i zdaln膮 instalacj臋 winpcap w systemach wewn膮trz wra偶liwych sieci biurowych, a nast臋pnie zdaln膮 konfiguracj臋 zada艅 w celu uruchomienia sniffer贸w sieciowych. Niekt贸re grupy APT, takie jak Naikon, rozprzestrzeniaj膮 tego rodzaju narz臋dzia w r贸偶nych systemach w celu odzyskania kontroli w razie jej przypadkowej awarii.        

Operator X wykorzystywa艂 r贸wnie偶 specyfik臋 kulturow膮 w swoich krajach docelowych, np. regularne i powszechnie akceptowane wykorzystywanie prywatnych kont Gmail do cel贸w zwi膮zanych z prac膮. Dlatego ugrupowanie APT Naikon bez trudu zarejestrowa艂o podobnie wygl膮daj膮ce adresy e-mail oraz wys艂a艂o swoim celom e-maile typu spear-phishing, odsy艂acze do stron infekuj膮cych szkodliwym oprogramowaniem oraz odsy艂acze do plik贸w przechowywanych na Dysku Google.

Imperium kontratakuje

Co jaki艣 czas grupa Naikon 艣ciera si臋 z innymi ugrupowaniami APT, kt贸re r贸wnie偶 s膮 aktywne w regionie. W szczeg贸lno艣ci zauwa偶yli艣my, 偶e opisywane ugrupowanie sta艂o si臋 celem ataku typu spear-phishing przeprowadzonego przez grup臋 o Hellsing. Wi臋cej informacji na temat potyczek mi臋dzy grupami Naikon i Hellsing mo偶na znale藕膰 w naszym serwisie: http://www.securelist.pl/analysis/7309,kroniki_hellsinga_imperium_kontratakuje.html.

 

殴ród艂o:
Kaspersky Lab