Naikon APT

Naikon est le nom d'un APT (Advanced Persistent Threat) qui serait originaire de Chine. Le groupe de piratage Naikon a été repéré pour la première fois il y a plus de dix ans, en 2010. Le Naikon APT a fait la une des journaux en 2015 lorsque l'infrastructure utilisée par les cyber-escrocs a été découverte par des chercheurs de logiciels malveillants. Grâce à cet exposé, l'un des membres du groupe de piratage Naikon a été arrêté par les forces de l'ordre. Après cette gaffe, les analystes de la cybersécurité ont supposé que le Naikon APT avait cessé ses activités. Cependant, le groupe de piratage Naikon a récemment réapparu avec le cheval de Troie de porte dérobée Aria-body, une nouvelle menace dotée d'une multitude de fonctionnalités.

Les attaques de Niakon tentent d'échapper à la détection

Le Naikon APT est un groupe de piratage qui a tendance à cibler les fonctionnaires et les institutions gouvernementales. La plupart des attaques menées par le groupe de piratage Naikon sont concentrées aux Philippines, au Vietnam, en Indonésie, au Myanmar, à Brunei et en Australie. La plupart des institutions gouvernementales ciblées par les cyber-escrocs du Naikon APT opèrent généralement dans le secteur des affaires étrangères ou dans l'industrie scientifique et technologique. Certaines entreprises et sociétés appartenant au gouvernement auraient également été ciblées par le Naikon APT.

En observant l'arsenal de piratage du Naikon APT, les chercheurs en logiciels malveillants ont conclu que ces individus ont tendance à mener des opérations de reconnaissance et d'espionnage à long terme. Ceci est très typique pour les groupes de piratage qui ciblent les gouvernements et les fonctionnaires étrangers. La récente opération Naikon qui impliquait l'outil de piratage Aria-body susmentionné ciblait le gouvernement australien. L'objectif du cheval de Troie de porte dérobée Aria-body était de collecter des données et de prendre le contrôle des systèmes ciblés liés au gouvernement. Il est probable qu'après que l'un des membres du Naikon APT ait été rattrapé en 2015, le groupe de piratage a décidé de commencer à fonctionner plus silencieusement pour éviter d'être détecté par les analystes des logiciels malveillants. Cela a probablement induit les experts en erreur en leur faisant croire que le groupe de piratage Naikon a pris sa retraite.

Le groupe de piratage Naikon propage le malware Aria-body via des e-mails de spear-phishing. Les e-mails en question ont été conçus pour éviter d'éveiller les soupçons de la cible en particulier. Les faux emails contiendraient une pièce jointe corrompue dont le but est d'exploiter une vulnérabilité que l'on peut trouver dans le service Microsoft Office.

Naikon obtient une nouvelle bouée de sauvetage pour les attaques ciblées

Même si Naikon est resté apparemment inactif pendant des années et que certains ont même émis l'hypothèse que l'APT avait été dissoute à la suite d'un rapport détaillé de 2015 sur sa structure, il a maintenant une fois de plus relevé la tête.

Les chercheurs travaillant avec Check Point ont découvert que Naikon a passé ces dernières années à cibler en permanence la même région - des pays et des organisations situés dans la région Asie-Pacifique. Les territoires attaqués par Naikon comprennent l'Australie, l'Indonésie, le Vietnam, Brunei, la Thaïlande et le Myanmar. L'outil principal utilisé dans ces attaques était la porte dérobée Aria-body et l'outil RAT de Naikon.

Les organisations ciblées dans les attaques les plus récentes comprennent des ministères et des sociétés appartenant au gouvernement du pays respectif. Une observation curieuse est qu'une fois que Naikon prend pied dans une entité étrangère, il l'utilise ensuite pour diffuser davantage de logiciels malveillants. Un tel exemple est une ambassade étrangère qui a été utilisée pour diffuser des logiciels malveillants au gouvernement de son pays hôte. Cette approche utilise des contacts connus et de confiance au sein de l'ambassade, ce qui facilite l'infiltration.

Lors d'une attaque récente, la charge utile Aria-body a été livrée via un fichier au format RTF nommé "The Indian Way.doc". Le fichier a été militarisé pour utiliser certains exploits à l'aide de l'outil RoyalRoad. Une fois le fichier Rich Text Format ouvert, il dépose un fichier nommé "Intel.wll", qui agit comme un chargeur qui tente de télécharger la charge utile de deuxième étape à partir d'un domaine distant.

Les experts pensent que le but des attaques de Naikon est de recueillir des renseignements et d'espionner les gouvernements. Les mauvais acteurs derrière le Naikon APT peuvent accéder aux fichiers sur les systèmes infectés et même enregistrer les frappes au clavier et prendre des captures d'écran. Une partie de la raison pour laquelle l'APT a échappé à la détection de ses activités les plus récentes pendant si longtemps était que Naikon utilisait des serveurs gouvernementaux déjà compromis comme points de commandement et de contrôle.

Le Naikon APT n'a pas encore raccroché les gants, certes. Cependant, les cyber-escrocs ont pris certaines mesures pour rester sous le radar des chercheurs en cybersécurité.

Cibles Naikon APT

La comparaison des attaques récentes avec celles d'il y a plusieurs années montre que Naikon APT continue de cibler les mêmes régions. Comme mentionné, leurs cibles il y a cinq ans comprenaient des gouvernements de toute la région Asie-Pacifique, et leurs attaques récentes semblent faire de même.

Une chose intéressante à noter à propos du groupe est qu'il a lentement étendu sa présence dans divers gouvernements. Pour ce faire, le groupe lance des attaques à partir d'un gouvernement violé dans le but d'infecter un autre gouvernement. Il y a eu un cas où une ambassade étrangère a envoyé sans le savoir des documents infectés au gouvernement de son pays hôte. Cet incident montre à quel point les pirates exploitent efficacement des contacts de confiance pour infiltrer de nouvelles cibles et développer davantage leur réseau d'espionnage.

Compte tenu des capacités et des cibles de Naikon APT, il devient clair que le but derrière les attaques est d'espionner les gouvernements cibles et de recueillir des renseignements sur eux. Le groupe rassemble des documents spécifiques de leurs cibles au sein des ministères, et récupère également des données à partir de disques amovibles, collecte des captures d'écran d'ordinateurs infectés et utilise les données volées à des fins d'espionnage.

Si tout cela ne suffisait pas, Naikon APT s'est avéré apte à échapper à la détection en passant par les réseaux gouvernementaux. Pour ce faire, le groupe compromet les serveurs d'un ministère infecté et utilise ces ordinateurs comme serveur de commande et de contrôle pour collecter et envoyer les données volées. Il est presque impossible de les retrouver grâce à cette méthode d'infection. C'était l'une des façons dont ils ont pu éviter d'être détectés pendant cinq ans.

La chaîne d'infection Aria-Body

La recherche montre que le groupe a plusieurs façons différentes d'infecter les ordinateurs avec Aria-Body. L'enquête sur le groupe a commencé lorsque les chercheurs ont repéré un e-mail malveillant envoyé au gouvernement de l'État australien par une ambassade du gouvernement dans la région. Le document infecté s'appelait "The Indians Way" et était un fichier RTF. Le fichier a été militarisé avec le générateur d'exploit RoyalRoad, qui dépose le chargeur intel.wll dans le dossier Word de l'ordinateur. Le chargeur tente de télécharger la prochaine étape de l'infection à partir de spool.jtjewifyn[.]com et de l'exécuter.

Ce ne serait pas la première fois que des pirates utilisent le logiciel malveillant RoyalRoad pour effectuer la livraison finale. D'autres groupes ATP, tels que Vicious Panda, utilisent également la méthode de livraison RoyalRoad. Naikon a également été vu en train d'utiliser des fichiers d'archive contenant des fichiers légitimes chargés de fichiers DLL malveillants. Cette méthode tire parti d'Outlook et d'autres fichiers exécutables légitimes pour mener une cyberattaque sur une cible. Naikon APT semble être devenu très habile à se cacher à la vue de tous.

Chargeur de premier étage de Naikon

Avant le déploiement de la RAT Aria-body, le chargeur de premier étage effectue un certain nombre de tâches sur le système infecté. Le chargeur est chargé d'assurer la persistance sur la machine de la victime, en utilisant souvent le dossier de démarrage. Ensuite, la charge utile s'injecte dans un autre processus, avec quelques exemples de processus ciblés comme dllhost.exe et rundll32.exe. Le chargeur décrypte sa configuration et contacte le C&C pour télécharger la charge utile de l'étape suivante - le RAT Aria-body, qui est ensuite décrypté et chargé.

Chemin du processus Aria-body de Naikon

Un regard plus attentif sur le corps d'Aria

Les récentes attaques menées par Naikon ont une fois de plus utilisé le RAT personnalisé Aria-body, probablement développé par l'APT à ses fins. Le nom de fichier de la charge utile est ce que les chercheurs ont utilisé pour son nom - aria-body-dllx86.dll. Le RAT personnalisé a la fonctionnalité trouvée dans la plupart des autres RAT :

• manipulation de fichiers et de répertoires
• prendre des captures d'écran
• recherche de fichiers
• lancement de fichiers à l'aide de la fonction ShellExecute
• fermeture d'une session TCP
• vérifier l'emplacement d'un système victime, en utilisant le service "checkip" d'Amazon

Les chercheurs ont repéré différentes instances d'Aria-body qui avaient également certaines des fonctionnalités suivantes :

• collecte de données USB
• enregistreur de frappe
• proxy chaussettes inversées

La première tâche d'Aria-body est de collecter autant d'informations que possible sur le système victime. Les détails collectés incluent le nom d'hôte, le nom d'utilisateur, la version du système d'exploitation, la fréquence du processeur, la clé MachineGUID et l'adresse IP publique. Le bloc de données collecté est compressé avec un mot de passe généré aléatoirement qui est ensuite crypté.

Le RAT peut communiquer avec ses serveurs C&C en utilisant HTTP ou TCP. Lequel des protocoles est utilisé est déterminé par un indicateur dans la configuration du chargeur. Les données système compressées de la victime sont transférées vers le C&C avec le mot de passe d'archivage crypté. Une fois le transfert terminé, le RAT commence à écouter son C&C pour les commandes entrantes.