Apartamento Naikon
Naikon es el nombre de una APT (amenaza persistente avanzada) que se cree que se originó en China. El grupo de piratería Naikon fue visto por primera vez hace más de una década, en 2010. El APT Naikon fue noticia en 2015 cuando los investigadores de malware descubrieron la infraestructura utilizada por los delincuentes cibernéticos. Gracias a esta exposición, uno de los miembros del grupo de hackers Naikon fue capturado por la policía. Después de este error, los analistas de seguridad cibernética asumieron que Naikon APT había quebrado. Sin embargo, el grupo de piratería Naikon ha resurgido recientemente con el troyano de puerta trasera Aria-body, una nueva amenaza que tiene una multitud de características.
Tabla de contenido
Los ataques de Niakon intentan evadir la detección
El APT Naikon es un grupo de piratería que tiende a apuntar a funcionarios e instituciones gubernamentales. La mayoría de los ataques llevados a cabo por el grupo de hackers Naikon se concentran en Filipinas, Vietnam, Indonesia, Myanmar, Brunei y Australia. La mayoría de las instituciones gubernamentales a las que se dirigen los delincuentes cibernéticos de Naikon APT suelen operar en el sector de relaciones exteriores o en la industria de la ciencia y la tecnología. Según los informes, algunas empresas y empresas, que son propiedad del gobierno, también han sido blanco de la APT de Naikon.
Al observar el arsenal de piratería de Naikon APT, los investigadores de malware han concluido que estas personas tienden a llevar a cabo operaciones de reconocimiento y espionaje a largo plazo. Esto es muy típico de los grupos de piratería que se dirigen a gobiernos y funcionarios extranjeros. La reciente operación de Naikon que involucró a la mencionada herramienta de piratería del cuerpo de Aria tuvo como objetivo al gobierno australiano. El objetivo del troyano de puerta trasera Aria-body era recopilar datos y asumir el control de los sistemas vinculados al gobierno objetivo. Es probable que después de que uno de los miembros de Naikon APT fuera atrapado en 2015, el grupo de hackers decidió comenzar a operar de manera más silenciosa para evitar la detección por parte de los analistas de malware. Esto probablemente engañó a los expertos haciéndoles creer que el grupo de piratas informáticos Naikon se ha retirado.
El grupo de piratería Naikon propaga el malware Aria-body a través de correos electrónicos de phishing. Los correos electrónicos en cuestión fueron diseñados para evitar levantar sospechas en el objetivo específicamente. Los correos electrónicos falsos contendrían un archivo adjunto corrupto cuyo objetivo es explotar una vulnerabilidad que se puede encontrar en el servicio de Microsoft Office.
Naikon obtiene un nuevo salvavidas para los ataques dirigidos
Aunque Naikon permaneció aparentemente inactivo durante años y algunos incluso especulaban que la APT se había disuelto después de un informe detallado de 2015 sobre su estructura, ahora ha vuelto a asomar la cabeza.
Los investigadores que trabajan con Check Point descubrieron que Naikon pasó los últimos años apuntando continuamente a la misma región: países y organizaciones ubicadas en la región de Asia Pacífico. Los territorios atacados por Naikon incluyen Australia, Indonesia, Vietnam, Brunei, Tailandia y Myanmar. La principal herramienta utilizada en esos ataques fue la puerta trasera Aria-body y la herramienta RAT de Naikon.
Las organizaciones objetivo de los ataques más recientes incluyen ministerios gubernamentales y corporaciones propiedad del gobierno del país respectivo. Una observación curiosa es que una vez que Naikon se afianza en una entidad extranjera, la usa para propagar más malware. Un ejemplo de ello es una embajada extranjera que se utilizó para propagar malware al gobierno de su país anfitrión. Este enfoque utiliza contactos conocidos y confiables dentro de la embajada, lo que facilita la infiltración.
En un ataque reciente, la carga útil del cuerpo de Aria se entregó a través de un archivo de formato de texto enriquecido llamado "The Indian Way.doc". El archivo fue armado para usar ciertas vulnerabilidades usando la herramienta RoyalRoad. Una vez que se abre el archivo de formato de texto enriquecido, suelta un archivo llamado "Intel.wll", que actúa como un cargador que intenta descargar la carga útil de la segunda etapa desde un dominio remoto.
Los expertos creen que el propósito de los ataques de Naikon es recopilar inteligencia y espiar a los gobiernos. Los malos actores detrás de Naikon APT pueden acceder a archivos en sistemas infectados e incluso registrar pulsaciones de teclas y tomar capturas de pantalla. Parte de la razón por la que APT evadió la detección de sus actividades más recientes durante tanto tiempo fue que Naikon usó servidores gubernamentales que ya estaban comprometidos como sus puntos de comando y control.
La APT de Naikon aún no ha colgado los guantes, desde luego. Sin embargo, los delincuentes cibernéticos han tomado algunas medidas para permanecer fuera del radar de los investigadores de ciberseguridad.
Objetivos APT de Naikon
La comparación de los ataques recientes con los de hace varios años muestra que Naikon APT continúa apuntando a las mismas regiones. Como se mencionó, sus objetivos hace cinco años incluían gobiernos de toda la región de Asia y el Pacífico, y sus ataques recientes parecen hacer lo mismo.
Una cosa interesante a tener en cuenta sobre el grupo es que han ido expandiendo lentamente su presencia en varios gobiernos. El grupo hace esto lanzando ataques desde un gobierno violado en un intento de infectar a otro gobierno. Hubo un caso en el que una embajada extranjera, sin saberlo, envió documentos infectados al gobierno de su país anfitrión. Este incidente muestra cuán efectivamente los piratas informáticos están explotando contactos confiables para infiltrarse en nuevos objetivos y desarrollar aún más su red de espionaje.
Dadas las capacidades y los objetivos de Naikon APT, queda claro que el propósito detrás de los ataques es espiar a los gobiernos objetivo y recopilar inteligencia sobre ellos. El grupo está recopilando documentos específicos de sus objetivos dentro de los departamentos gubernamentales y también tomando datos de unidades extraíbles, recopilando capturas de pantalla de computadoras infectadas y utilizando los datos robados para espionaje.
Si todo eso no fuera lo suficientemente malo, Naikon APT ha demostrado ser hábil para evadir la detección cuando pasa por las redes gubernamentales. El grupo hace esto al comprometer servidores dentro de un ministerio infectado y usar esas computadoras como un servidor de comando y control para recopilar y enviar los datos robados. Es casi imposible rastrearlos gracias a este método de infección. Esta fue una de las formas en que pudieron evitar la detección durante cinco años.
La cadena de infección de Aria-Body
La investigación muestra que el grupo tiene varias formas diferentes de infectar computadoras con Aria-Body. La investigación sobre el grupo comenzó cuando los investigadores detectaron un correo electrónico malicioso enviado al gobierno del estado australiano por una embajada del gobierno en la región. El documento infectado se llamaba "The Indians Way" y era un archivo RTF. El archivo fue armado con el generador de exploits RoyalRoad, que coloca el cargador intel.wll en la carpeta de Word en la computadora. El cargador intenta descargar la siguiente etapa de la infección desde spool.jtjewifyn[.]com y ejecutarla.
Esta no sería la primera vez que los piratas informáticos utilizan el malware RoyalRoad para realizar la entrega final. Otros grupos ATP, como Vicious Panda, también utilizan el método de entrega RoyalRoad. También se ha visto a Naikon usando archivos de almacenamiento que contienen archivos legítimos cargados con archivos DLL maliciosos. Este método aprovecha Outlook y otros archivos ejecutables legítimos para realizar un ataque cibernético en un objetivo. Naikon APT parece haberse vuelto muy hábil para esconderse a plena vista.
Cargador de primera etapa de Naikon
Antes de que se implemente la RAT de Aria-body, el cargador de primera etapa realiza una serie de tareas en el sistema infectado. El cargador es responsable de garantizar la persistencia en la máquina de la víctima, a menudo utilizando la carpeta de inicio. Luego, la carga útil se inyecta en otro proceso, con algunos ejemplos de procesos específicos como dllhost.exe y rundll32.exe. El cargador descifra su configuración y se comunica con el C&C para descargar la carga útil de la siguiente etapa: la RAT del cuerpo Aria, que luego se descifra y se carga.
Ruta del proceso del cuerpo Aria de Naikon
Una mirada más cercana al cuerpo de Aria
Los ataques recientes llevados a cabo por Naikon utilizaron una vez más la RAT personalizada del cuerpo de Aria, probablemente desarrollada por la APT para sus propósitos. El nombre de archivo de la carga útil es el que los investigadores usaron para su nombre: aria-body-dllx86.dll. La RAT personalizada tiene la funcionalidad que se encuentra en la mayoría de las otras RAT:
- manipulación de archivos y directorios
- tomando capturas de pantalla
- buscando archivos
- lanzar archivos usando la función ShellExecute
- cerrar una sesión TCP
- verificar la ubicación del sistema de una víctima, utilizando el servicio 'checkip' de Amazon
Los investigadores han detectado diferentes instancias de Aria-body que también tenían algunas de las siguientes funciones:
- recopilación de datos USB
- registrador de pulsaciones de teclas
- proxy de calcetines inversos
La primera tarea de Aria-body es recopilar la mayor cantidad de información posible sobre el sistema de la víctima. Los detalles recopilados incluyen el nombre de host, el nombre de usuario, la versión del sistema operativo, la frecuencia de la CPU, la clave MachineGUID y la dirección IP pública. El fragmento de datos recopilado se comprime con una contraseña generada aleatoriamente que luego se cifra.
La RAT puede comunicarse con sus servidores C&C mediante HTTP o TCP. Cuál de los protocolos se utiliza está determinado por una bandera en la configuración del cargador. Los datos del sistema comprimidos de la víctima se transfieren al C&C junto con la contraseña del archivo cifrado. Una vez completada la transferencia, la RAT comienza a escuchar a su C&C en busca de comandos entrantes.
