APT-группировка Naikon и кампании MsnMM

The MsnMM Campaigns, PDF [ENG]

Более пяти лет APT-группировка Naikon вела многочисленные кампании, в ходе которых атакам подвергались цели по всей Юго-Восточной Азии и в районе Южно-Китайского моря. В центре внимания группировки были Мьянма, Вьетнам, Сингапур, Филиппины, Малайзия и Лаос. Среди целей – и жертв – атак были госучреждения и ведомства Ассоциации государств Юго-Восточной Азии (АСЕАН), инвестиционные компании, военные, правоохранительные, пограничные организации, посольства, университеты и пр.

При публичном обсуждении этих кампаний делался упор на инструменты, которые в них применялись. Например, бэкдоры MsnMM поначалу имели внутренние имена типа WinMM и SslMM – такие названия файлов помогали маскировать их под файлы MSN Talk и MSN Gaming Zone. Название бэкдора Naikon было образовано из User-Agent строки NOKIAN95. Однако, бэкдоры msnMM, naikon, sakto и rarstone все использовались одной и той же группировкой, которой мы дали название «APT-группировка Naikon». Инструменты, применяемые на второй стадии заражения, остались по большей части неизвестными, но список тех, о которых мы знаем, приведен в упомянутом выше отчёте.

В рамках кампаний MsnMM группировка Naikon пыталась красть конфиденциальные геополитические, военные и экономические данные, перехватывать коммуникации и устанавливать наблюдение над своими жертвами. Инструментарий и методы со временем претерпели многочисленные, но небольшие изменения; управление, по всей видимости, осуществляется людьми, говорящими на китайском языке. Следует отметить, что в разных кампаниях зачастую были задействованы одни и те же элементы инфраструктуры киберпреступников, основанной на использовании веб-приложений, преимущественно с хостингом в динамических DNS-доменах. Как говорилось ранее, технологии и методы, используемые APT-группировкой, просты, но высокоэффективны против защитных средств, применяемых ее жертвами. Использование уязвимостей нулевого дня не отмечено.

Содержание большинства документов, применяемых Naikon в адресных фишинговых рассылках и в качестве «ловушек», а также выбор адресатов соответствует «горячим» геополитическим событиям. Анализ списка военных, экономических и политических организаций, который стали жертвами атак группы Naikon, говорит о постоянстве «интересов» данной группировки. В ранних кампаниях Naikon использовались бэкдоры exe_exchange, winMM и sys10; позже на основе этой кодовой базы создавались другие, более специализированные инструменты. Кампании MsnMM были запущены в начале 2014 г., затем их активность поутихла, чтобы снова возрасти в конце 2014 – начале 2015 г.

Что касается взаимодействия с другими APT-группировками, то интересно заметить, что список жертв Naikon частично пересекается со списком жертв APT-группировки Cycldek – ещё одной, менее мощной, постоянно действующей APT-группировки. Также есть APT-группировка APT30, чей выбор жертв близок к тому, что характерен для Naikon, а используемый инструментарий имеет пусть небольшие, но заметные сходства с инструментарием группировки Naikon. Наконец, поздние кампании Naikon привели к ожесточенной конфронтации с APT-группировкой Hellsing по принципу «империя наносит ответный удар».

Хотя различные аспекты вредоносного инструментария обсуждались в блогах и в других публикациях, до сих пор не существует достоверного отчёта, в котором исходя из совокупности имеющихся данных кампании MsnMM, Sys10 и Naikon были бы представлены как работа одной группы – APT-группировки Naikon. И наконец, в данном отчёте дан анализ прошлой активности группировки, в то время как Naikon продолжает активно действовать по сей день, применяя при этом более новую кодовую базу. Наиболее крупными целями атак в 2015 г. (по доступной нам информации) стали организации в Мьянме, Камбодже, Вьетнаме, Таиланде и Лаосе.