Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Naikon APT на протяжении пяти лет атакует правительственные организации

08/05/20

hack81-3Специалисты из компании Check Point обнаружили текущую кампанию по кибершпионажу, нацеленную на правительственные организации в Австралии, Индонезии, Филиппинах, Вьетнаме, Таиланде, Мьянме и Брунее. Как отметили эксперты, китайская киберпреступная группировка Naikon APT оставалась незамеченной в течение как минимум пяти лет и все еще продолжает осуществлять атаки.

Naikon APT, являвшаяся одной из самых активных группировок в Азии до 2015 года, провела серию кибератак в Азиатско-Тихоокеанском регионе. Naikon APT действовала на протяжении последних пяти лет и использовала новый бэкдор под названием Aria-body. Как пояснили исследователи, целью группировки является сбор разведданных и шпионаж за правительствами целевых стран.

RAT Aria-body способен создавать и удалять файлы и каталоги, делать скриншоты, выполнять поиск файлов, собирать метаданные файлов, информацию о системе и местоположении. Некоторые последние версии Aria-body также оснащены возможностями для кейлоггинга и загрузки других расширений. Помимо эксфильтрации всех собранных данных на C&C-сервер, бэкдор способен выполнять и другие команды.

«Это включает в себя не только обнаружение и кражу определенных документов с зараженных компьютеров и сетей внутри правительственных учреждений, но также извлечение съемных дисков с данными, создание скриншотов, кейлоггинг, и сбор хищение данных», — пояснили эксперты.

В качестве начального вектора атаки Naikon APT отправляет электронные письма с вредоносными вложениями в правительственные учреждения высшего уровня, а также гражданские и военные организации. Письма после открытия устанавливали шпионское ПО, которое отправляло конфиденциальные данные на C&C-серверы.

В ходе одной из последних атак преступники из Naikon APT выдавали себя за представителей иностранного правительства. Злоумышленники загружали на системы жертвы бэкдор Aria-body, а вредоносные электронные письма содержали RTF-файл с компоновщиком эксплойтов под названием RoyalBlood, который устанавливал загрузчик (intel.wll) в системную папку запуска Microsoft Word («% APPDATA%\Microsoft\Word\STARTUP»).

Эксперты отметили, что тактика с использованием RoyalBlood также применялась группировкой Vicious Panda в ходе кампании против правительственных учреждений Монголии.

Темы:ПреступленияAPT-группыCheck PointКиберугрозы
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...