Campaña de espionaje cibernético paso desapercibida durante 5 años

Recientemente se descubrió que un grupo avanzado de piratas informáticos chinos está detrás de una campaña sostenida de espionaje cibernético dirigida a entidades gubernamentales en Australia, Indonesia, Filipinas, Vietnam, Tailandia, Myanmar y Brunei, que no se detectó durante al menos cinco años y todavía está en curso. amenaza.

El grupo, llamado 'Naikon APT', una vez conocido como uno de los APT más activos en Asia hasta 2015, llevó a cabo una serie de ataques cibernéticos en la región Asia-Pacífico (APAC) en busca de inteligencia geopolítica.

Según el último informe de investigación que los investigadores de Check Point compartieron con The Hacker News, el grupo APT de Naikon no había guardado silencio durante los últimos 5 años, como se sospechaba inicialmente; en cambio, estaba usando una nueva puerta trasera, llamada " Aria-body ", para operar sigilosamente.

"Dadas las características de las víctimas y las capacidades presentadas por el grupo, es evidente que el propósito del grupo es reunir inteligencia y espiar a los países a los que se dirige", dijeron los investigadores.

En resumen, la puerta trasera del cuerpo Aria se está utilizando para tomar el control de las redes internas de una organización objetivo, además de los ataques crecientes de una compañía ya violada para infectar a otra.

"Esto incluye no solo ubicar y recopilar documentos específicos de computadoras y redes infectadas dentro de los departamentos gubernamentales, sino también extraer unidades de datos extraíbles, tomar capturas de pantalla y registro de teclas y, por supuesto, recolectar los datos robados para espionaje".

Una campaña de inteligencia geopolítica

Documentado por primera vez en 2015, el grupo Naikon APT utiliza señuelos de correo electrónico diseñados como un vector de ataque inicial contra agencias gubernamentales de alto nivel y organizaciones civiles y militares, que, cuando se abrieron, instalaron software espía que filtraba documentos confidenciales para mando y control remoto (C2 ) servidores.

Aunque no se han informado nuevos signos de actividad desde entonces, la última investigación de Check Point proyecta sus operaciones desde una nueva perspectiva.

"Naikon intentó atacar a uno de nuestros clientes haciéndose pasar por un gobierno extranjero, fue cuando volvieron a nuestro radar después de una ausencia de cinco años, y decidimos investigar más", dijo Lotem Finkelsteen, gerente de inteligencia de amenazas en Check Point.

No solo se emplearon múltiples cadenas de infección para entregar la puerta trasera del cuerpo Aria, sino que los correos electrónicos maliciosos también contenían un archivo RTF (llamado "The Indians Way.doc") que estaba infectado con un generador de exploits llamado RoyalBlood, que dejó caer un cargador (Intel .wll) en la carpeta de inicio de Microsoft Word del sistema ("% APPDATA% \ Microsoft \ Word \ STARTUP").


RoyalBlood es un armador RTF compartido principalmente entre los actores de amenazas chinos. Vale la pena señalar que un modus operandi similar se ha relacionado con una campaña contra las agencias gubernamentales de Mongolia, llamada Vicious Panda , que se descubrió explotando el brote de coronavirus en curso para plantar malware a través de trucos de ingeniería social.

En un mecanismo de infección separado, los archivos de almacenamiento se empaquetaron con un ejecutable legítimo (como Outlook y Avast Proxy) y una biblioteca maliciosa para colocar el cargador en el sistema de destino.

Independientemente del método para obtener un punto de apoyo inicial, el cargador estableció una conexión con un servidor C2 para descargar la carga útil de la puerta trasera Aria de la siguiente etapa.

"Después de obtener el dominio C&C, el cargador lo contacta para descargar la siguiente y última etapa de la cadena de infección", anotaron los investigadores. "Aunque parezca simple, los atacantes operan el servidor de C&C en una ventana diaria limitada, conectándose en línea solo durante unas pocas horas cada día, lo que dificulta el acceso a las partes avanzadas de la cadena de infección".

El Aria-body RAT, llamado así en base al nombre "aria-body-dllX86.dll" dado por los autores del malware, tiene todas las características que esperarías de una puerta trasera típica: crea y elimina archivos y directorios, toma capturas de pantalla, buscar archivos, recopilar metadatos de archivos, recopilar información del sistema y la ubicación, entre otros.

Algunas variaciones recientes de Aria-body también vienen equipadas con capacidades para capturar pulsaciones de teclas e incluso cargar otras extensiones, según los investigadores, lo que sugiere que la puerta trasera está en desarrollo activo.

Además de filtrar todos los datos recopilados al servidor C2, la puerta trasera escucha cualquier comando adicional que se ejecute.

Un análisis posterior de la infraestructura C2 descubrió que se utilizaron varios dominios durante largos períodos de tiempo, con la misma dirección IP reutilizada con más de un dominio.

Llevando sus tácticas de evasión al siguiente nivel, el adversario comprometió y usó servidores dentro de los ministerios infectados como servidores C2 para lanzar ataques y retransmitir y enrutar los datos robados, en lugar de la detección de riesgos al acceder a los servidores remotos.

Lazos con Naikon APT

Check Point dijo que atribuyó la campaña a la APT Naikon basada en similitudes de código en Aria-body y la herramienta de espionaje detallada por Kaspersky (llamada "XSControl") en 2015, así como en el uso de dominios C2 (mopo3 [.] Net ) que se resuelven en la misma dirección IP que los dominios mencionados por este último (myanmartech.vicp [.] net).


"Si bien el grupo Naikon APT se ha mantenido fuera del radar durante los últimos 5 años, parece que no han estado inactivos", concluyó Check Point. "De hecho, todo lo contrario. Al utilizar una nueva infraestructura de servidor, variantes de cargadores en constante cambio, carga sin archivos en memoria, así como una nueva puerta trasera, el grupo APT de Naikon pudo evitar que los analistas rastrearan su actividad hacia ellos". "

Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta