Naikon APT на протяжении пяти лет атакует правительственные организации
08/05/20
Специалисты из компании Check Point обнаружили текущую кампанию по кибершпионажу, нацеленную на правительственные организации в Австралии, Индонезии, Филиппинах, Вьетнаме, Таиланде, Мьянме и Брунее. Как отметили эксперты, китайская киберпреступная группировка Naikon APT оставалась незамеченной в течение как минимум пяти лет и все еще продолжает осуществлять атаки.
Naikon APT, являвшаяся одной из самых активных группировок в Азии до 2015 года, провела серию кибератак в Азиатско-Тихоокеанском регионе. Naikon APT действовала на протяжении последних пяти лет и использовала новый бэкдор под названием Aria-body. Как пояснили исследователи, целью группировки является сбор разведданных и шпионаж за правительствами целевых стран.
RAT Aria-body способен создавать и удалять файлы и каталоги, делать скриншоты, выполнять поиск файлов, собирать метаданные файлов, информацию о системе и местоположении. Некоторые последние версии Aria-body также оснащены возможностями для кейлоггинга и загрузки других расширений. Помимо эксфильтрации всех собранных данных на C&C-сервер, бэкдор способен выполнять и другие команды.
«Это включает в себя не только обнаружение и кражу определенных документов с зараженных компьютеров и сетей внутри правительственных учреждений, но также извлечение съемных дисков с данными, создание скриншотов, кейлоггинг, и сбор хищение данных», — пояснили эксперты.
В качестве начального вектора атаки Naikon APT отправляет электронные письма с вредоносными вложениями в правительственные учреждения высшего уровня, а также гражданские и военные организации. Письма после открытия устанавливали шпионское ПО, которое отправляло конфиденциальные данные на C&C-серверы.
В ходе одной из последних атак преступники из Naikon APT выдавали себя за представителей иностранного правительства. Злоумышленники загружали на системы жертвы бэкдор Aria-body, а вредоносные электронные письма содержали RTF-файл с компоновщиком эксплойтов под названием RoyalBlood, который устанавливал загрузчик (intel.wll) в системную папку запуска Microsoft Word («% APPDATA%\Microsoft\Word\STARTUP»).
Эксперты отметили, что тактика с использованием RoyalBlood также применялась группировкой Vicious Panda в ходе кампании против правительственных учреждений Монголии.