Отчеты о целевых атаках (APT)

APT-группировка Naikon

Сбор геополитической разведывательной информации в странах Азиатско-Тихоокеанского региона

Наш недавний отчет “Хроники APT-атак Hellsing: Империя наносит ответный удар” начинался с описания APT-группировки Naikon, которая характеризовалась как «одна из наиболее активных APT-группировок в Азии, особенно в районе Южно-Китайского моря». Она упоминалась в связи с уникальной и удивительной историей возмездия, выпавшей на ее долю. Именно благодаря атаке Naikon на организацию, связанную с APT-группировкой Hellsing, мы впервые узнали о Hellsing. Учитывая масштаб деятельности Naikon, неумолимость и упорство ее атак, это столкновение следовало изучить, что мы и сделали. 

Naikon стала объектом адресного фишинга со стороны группировки, которую мы назвали «Hellsing»

Tweet

APT-группировка Naikon похожа на группировку APT30, недавно обнаруженную нашими коллегами из FireEye, но точного соответствия мы не нашли. Вряд ли стоит удивляться отдельным совпадениям, учитывая, что обе группировки в течение многих лет выкачивали информацию из своих жертв в регионе Южно-Китайского моря, очевидно охотясь за геополитическими разведывательными данными.

Группировка Naikon 5 лет выкачивала информацию из своих жертв, охотясь за геополитическими разведывательными данными

Tweet

В следующем отчете о Naikon мы проанализируем тактические приемы, методы и процедуры, применяемые этой группировкой, и невероятный масштаб атак в регионе Южно-Китайского моря, ведущихся, по меньшей мере, с 2010 года.

Отличительные рабочие и логистические характеристики этой APT-группировки:

  • Масштабные геополитические атаки на важные государственные организации на протяжении как минимум пяти лет
  • Географическая направленность: индивидуальное назначение оператора для каждой страны и использование прокси-серверов
  • Динамичная, хорошо организованная инфраструктура
  • Использование согласованного набора инструментов сторонних разработчиков, в состав которого входят: полнофункциональный бэкдор, обычный компоновщик и компоновщик эксплойтов
  • Высокая доля успешных попыток проникновения в государственные организации стран АСЕАН

Сфокусированность и эффективная деятельность в регионе Южно-Китайского моря

Весной 2014 года мы обратили внимание на рост числа атак со стороны APT-группировки Naikon. Родным языком злоумышленников, по-видимому, являлся китайский, а их атаки были в основном нацелены на государственные учреждения, гражданские и военные организации высшего звена в таких странах, как Филиппины, Малайзия, Камбоджа, Индонезия, Вьетнам, Мьянма, Сингапур, Непал, Таиланд, Лаос и Китай.

Naikon_1_

Приманка

Атака обычно начинается с отправки письма с вложением, которое может заинтересовать потенциальную жертву. Вложение может содержать сведения из открытых источников или конфиденциальную информацию, украденную из других взломанных систем.

Вложение-приманка выглядит как стандартный документ Word. На самом деле это эксплойт к уязвимости CVE-2012-0158 – исполняемый файл с двойным расширением либо с именем, созданным с помощью техники RTLO (Right-to-Left Override), который может выполнить код без ведома и согласия пользователя. Во время выполнения этот файл устанавливает на компьютер жертвы шпионское ПО и одновременно выводит на экран текст документа-приманки, так что обманутый пользователь думает, что открыл обычный документ.

Конфигурация

Выбранный Naikon инструмент генерирует небольшой специальный зашифрованный файл размером 8000 байт; он содержит код, который должен быть внедрен в браузер вместе с данными конфигурации. С помощью модуля запуска весь этот файл внедряется в память браузера и расшифровывает блок конфигурации, который содержит:

  • информацию о командном сервере
  • номера портов и путь к серверу
  • строку User-agent
  • имена файлов и пути к компонентам
  • хэш-суммы функций пользовательского API

Затем этот же код скачивает с командного сервера через SSL-протокол основное тело зловреда, загружает его в обход функций операционной системы и, не сохраняя на жестком диске, передает управление функции XS02. Вся функциональная обработка происходит в памяти.

Naikon_2

Функциональность

Главный модуль представляет собой утилиту удаленного администрирования. Используя SSL-протокол, модуль устанавливает обратное соединение с командным сервером следующим образом: он устанавливает с командным сервером исходящее соединение и проверяет, нет ли команды, которую он должен выполнить. Если такая команда поступает, он выполняет ее и возвращает результат командному серверу. В репертуаре модуля 48 различных команд, с помощью которых удаленный оператор может эффективно управлять компьютером жертвы.  Среди них – получение полной информации об аппаратном и программном обеспечении компьютера, скачивание и загрузка данных, установка модулей расширения и работа с командной строкой.

В арсенале главного модуля 48 команд, с помощью которых злоумышленники могут управлять компьютером жертвы

Tweet

Полный перечень команд главного модуля:

0 CMD_MAIN_INFO
1 CMD_PROCESS_REFRESH
2 CMD_PROCESS_NAME
3 CMD_PROCESS_KILL
4 CMD_PROCESS_MODULE
5 CMD_DRIVE_REFRESH
6 CMD_DIRECTORY
7 CMD_DIRECTORY_CREATE
8 CMD_DIRECTORY_CREATE_HIDDEN
9 CMD_DIRECTORY_DELETE
10 CMD_DIRECTORY_RENAME
11 CMD_DIRECOTRY_DOWNLOAD
12 CMD_FILE_REFRESH
13 CMD_FILE_DELETE
14 CMD_FILE_RENAME
15 CMD_FILE_EXECUTE_NORMAL
16 CMD_FILE_EXECUTE_HIDDEN
17 CMD_FILE_EXECUTE_NORMAL_CMD
18 CMD_FILE_EXECUTE_HIDDEN_CMD
19 CMD_FILE_UPLOAD
20 CMD_FILE_DOWNLOAD
21 CMD_WINDOWS_INFO
22 CMD_WINDOWS_MESSAGE
23 CMD_SHELL_OPEN
24 CMD_SHELL_CLOSE
25 CMD_SHELL_WRITE
26 CMD_SERVICE_REFRESH
27 CMD_SERVICE_CONTROL
28 CMD_PROGRAM_INFO
29 CMD_UNINSTALL_PROGRAM
30 CMD_REGESTRY_INFO
31 CMD_ADD_AUTO_START
32 CMD_MY_PLUGIN
33 CMD_3RD_PLUGIN
34 CMD_REG_CREATEKEY
35 CMD_REG_DELETEKEY
36 CMD_REG_SETVALUE
37 CMD_REG_DELETEVALUE
38 CMD_SELF_KILL
39 CMD_SELF_RESTART
40 CMD_SELF_CONFIG
41 CMD_SELF_UPDATE
42 CMD_SERVER_INFO
43 CMD_INSTALL_SERVICE
44 CMD_FILE_DOWNLOAD2
45 CMD_RESET
46 CMD_CONNECTION_TABLE
50 CMD_HEART_BEAT

Существует несколько модификаций главного модуля. Между ними нет существенных различий, но в более поздних версиях появились некоторые дополнительные функции, включая сжатие и шифрование передаваемых данных и скачивание больших файлов по частям.

d085ba82824c1e61e93e113a705b8e9a 118272 Aug 23 18:46:57 2012
b4a8dc9eb26e727eafb6c8477963829c 140800 May 20 11:56:38 2013
172fd9cce78de38d8cbcad605e3d6675 118784 Jun 13 12:14:40 2013
d74a7e7a4de0da503472f1f051b68745 190464 Aug 19 05:30:12 2013
93e84075bef7a11832d9c5aa70135dc6 154624 Jan 07 04:39:43 2014

Работа командных серверов и использование прокси-серверов

Работа командных серверов имеет следующие отличительные особенности:

  • низкие требования к техническому обслуживанию
  • назначение задач с учетом географического положения
  • различные подходы к передаче данных

Командные серверы должны иметь нескольких операторов для управления всей сетью. Очевидно, каждый оператор имеет собственный набор целей, так как прослеживается корреляция между командными серверами и местоположением целей/жертв.

Прослеживается корреляция между географическим местоположением командных серверов Naikon и целей/жертв

Tweet

Обмен данными с атакуемыми системами может быть организован по-разному и зависит от конкретной атакуемой цели. Иногда между компьютером жертвы и командным центром устанавливается прямое соединение. В других случаях соединение происходит через выделенные прокси-серверы, установленные на выделенных серверах, которые арендуются в третьих странах. По всей видимости, эта дополнительная возможность стала реакцией на то, что в некоторых атакуемых организациях сетевые администраторы ограничивают или отслеживают исходящие сетевые соединения.

Неполный перечень командных серверов демонстрирует корреляцию с географическим местоположением жертв:

ID Джакарта linda.googlenow.in
ID Джакарта admin0805.gnway.net
ID Джакарта free.googlenow.in
ID   frankhere.oicp.net
ID Бандунг frankhere.oicp.net
ID Бандунг telcom.dhtu.info
ID Джакарта laotel08.vicp.net
JP Токио greensky27.vicp.net
KH   googlemm.vicp.net
KH Пномпень googlemm.vicp.net
MM   peacesyou.imwork.net
MM   sayakyaw.xicp.net
MM   ubaoyouxiang.gicp.net
MM Янгон htkg009.gicp.net
MM   kyawthumyin.xicp.net
MM   myanmartech.vicp.net
MM   test-user123.vicp.cc
MY   us.googlereader.pw
MY   net.googlereader.pw
MY   lovethai.vicp.net
MY   yahoo.goodns.in
MY Путраджая xl.findmy.pw
MY Путраджая xl.kevins.pw
PH Калобкан oraydns.googlesec.pw
PH Калобкан gov.yahoomail.pw
PH   pp.googledata.pw
PH   xl.findmy.pw
PH   mlfjcjssl.gicp.net
PH   o.wm.ggpw.pw
PH   oooppp.findmy.pw
PH   cipta.kevins.pw
PH   phi.yahoomail.pw
SG Сингапур xl.findmy.pw
SG Сингапур dd.googleoffice.in
VN Ханой moziliafirefox.wicp.net
VN Ханой bkav.imshop.in
VN Ханой baomoi.coyo.eu
VN Донг Кет macstore.vicp.cc
VN Ханой downloadwindows.imwork.net
VN Ханой vietkey.xicp.net
VN Ханой baomoi.vicp.cc
VN Ханой downloadwindow.imwork.net
VN Бинь Дуонг www.ttxvn.net
VN Бинь Дуонг vietlex.gnway.net
VN Ханой www.ttxvn.net
VN Ханой us.googlereader.pw
VN Ханой yahoo.goodns.in
VN Ханой lovethai.vicp.net
VN Ханой vietlex.gnway.net

XSControl – «программа управления жертвами» APT-группировки Naikon

Командный сервер в структуре Naikon может быть специализированной программой XSControl, которая выполняется на машине оператора. С ее помощью можно управлять всей сетью зараженных клиентов. В некоторых случаях для туннелирования трафика жертвы на сервер XSControl используется прокси-сервер. Прокси-сервер Naikon – это выделенный сервер, который принимает входящие соединения с зараженных компьютеров и перенаправляет их на C&C. В каждой атакуемой стране может быть установлен отдельный прокси-сервер Naikon для туннелирования трафика с зараженных систем на соответствующие командные сервера.

Программа XSControl написана на платформе .NET с использованием библиотеки компонентов DevExpress:

xs8
xs9

Основные функциональные возможности XSControl:

  • Прием начальных запросов клиентов на установление соединения
  • Передача клиентам главного модуля удаленного администрирования
  • Использование клиентов для удаленного администрирования зараженных компьютеров через GUI
  • Ведение журналов операций клиентов
  • Ведение журналов действий операторов
  • Загрузка журналов и файлов на FTP-сервер

Журналы действий операторов содержат следующую информацию:

  • XML-базу скачанных файлов с указанием времени операции, удаленного и локального пути к файлам
  • базу данных имен файлов, ключи реестра на компьютере жертвы для файлов и запрошенных разделов
  • историю выполненных команд

Страна X, оператор X

Теперь рассмотрим одну кампанию Naikon, направленную на страну “X”.

Анализ показал, что кампания кибершпионажа против страны X велась на протяжении многих лет. Компьютеры, зараженные модулями дистанционного управления, предоставляли злоумышленникам доступ к корпоративной почте сотрудников и внутренним ресурсам, а также к содержанию личной и корпоративной почты, хранящейся на внешних сервисах.

Вот неполный перечень организаций, пострадавших от действий «оператора X» в ходе кампании кибершпионажа Naikon в стране X:

  • Канцелярия президента
  • Вооруженные силы
  • Секретариат кабинета министров
  • Совет национальной безопасности
  • Генеральная прокуратура
  • Национальное агентство координации разведки
  • Управление гражданской авиации
  • Министерство юстиции
  • Государственная полиция
  • Администрация кабинета министров / президента

Некоторые из этих организаций были основными целями и находились под постоянным наблюдением в режиме реального времени. Во время мониторинга сети оператора X злоумышленники разместили прокси-серверы Naikon внутри страны для поддержки и маскировки исходящих соединений в режиме реального времени и скачивания данных важных государственных организаций.

Чтобы получить учетные данные сотрудников, оператор X иногда использовал клавиатурных шпионов. При необходимости он загружал их через клиента дистанционного управления. Кроме того, для считывания нажатий клавиш злоумышленники перехватывали сетевой трафик. Дальнейшее распространение вредоносного ПО происходило через копирование и удаленную установку инструмента winpcap на настольных системах офисных сетей, содержащих конфиденциальные данные, с последующим дистанционным созданием заданий AT для запуска этих анализаторов сетевых пакетов (снифферов). Некоторые APT-группировки, подобные Naikon, распространяют такие инструменты не в одной, а в нескольких системах, чтобы восстановить контроль, если он был случайно потерян, и сохранить свое присутствие.

Группировка Naikon использовала культурные особенности атакуемых стран

Tweet

Кроме того, оператор X использовал культурные особенности атакуемых стран, например, регулярное и широко распространенное использование для работы личных учетных записей Gmail. Для APT-группировки Naikon не составило труда зарегистрировать похожие почтовые адреса и организовать адресный фишинг, рассылая своим жертвам письма с вложениями, ссылками на сайты с вредоносным ПО или на Google Диск.

Империя наносит ответный удар

Время от времени Naikon сталкивается с другими APT-группировками, действующими в том же регионе. Так, мы обнаружили, что Naikon стала объектом адресного фишинга со стороны группировки, которую мы назвали “Hellsing”. Подробнее об играх «рыцарей плаща и кинжала» – Naikon и Hellsing – можно прочесть в нашем блоге в заметке “Хроники APT-атак Hellsing: Империя наносит ответный удар”.

APT-группировка Naikon

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Илья

    Сдается, что страна Х это Филиппины?

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике