Die Naikon-APT

Inhalt

Unser kürzlich erschienener Bericht „Chronik der Hellsing-APT: Das Imperium schlägt zurück“ begann mit einer Vorstellung der Naikon APT, die wir als „eine der aktivsten APT-Gruppen in Asien – und insbesondere im Gebiet des Südchinesischen Meeres“ beschrieben. Naikon wurde auf Grund seiner Rolle in einer Geschichte erwähnt, die sich als eine der erstaunlichsten Vergeltungsaktionen überhaupt erwies. Dabei war es eine Naikon-Attacke auf eine mit Hellsing in Verbindung stehenden Organisation, die uns erstmals auf die Hellsing-APT aufmerksam machte. Unter Berücksichtigung des Umfangs der beobachteten Naikon-Aktivität und der unaufhaltsamen, wiederholten Angriffsversuche, schien uns, dass eine solche Konfrontation es wert ist, einmal genauer unter die Lupe genommen zu werden. Und das taten wir dann auch.

Die Naikon-APT steht in einer Reihe mit dem Akteur, den unsere Kollegen von FireEye kürzlich als APT30 identifizierten, doch wir konnten keine eindeutigen Übereinstimmungen feststellen. Es ist auch kaum überraschend, dass es hier Überschneidungen gibt, wenn man bedenkt, dass beide Akteure jahrelang Opfer im Gebiet des Südchinesischen Meeres vermint haben, offensichtlich auf der Suche nach geopolitischer Spionagetätigkeit.

Dieser Naikon-Bericht wird von einem Folge-Bericht ergänzt, der die Naikon-ATP und das unglaubliche Volumen von Angriffsaktivität rund um das Südchinesische Meer beleuchtet, die mindestens seit dem Jahr 2010 andauert.

Zu den nennenswerten operativen und logistischen Charakteristika dieser APT gehören:

  • Mindestens schon fünf Jahre andauernde massenhafte und geopolitische Angriffsaktivität auf prominente Ziele.
  • Geographischer Fokus – pro Land individuelle Operator-Zuweisung und Proxy-Präsenz
  • Dynamische, gut organisierte Infrastruktur
  • Verlass auf ein extern entwickeltes, gleichbleibendes Tool-Set, das eine voll ausgestattete Backdoor, einen Erbauer und ein Exploit-Entwurfsmuster umfasst.
  • Hohe Erfolgsraten beim Infiltrieren nationaler Organisationen in ASEAN-Staaten.

Extrem fokussiert und effektiv im Bereich des Südchinesischen Meeres

Im Frühjahr 2014 registrierten wir eine Zunahme des Angriffsvolumens der Naikon APT. Die Angreifer schienen chinesischsprachig zu sein und griffen in erster Linie Regierungsbehörden auf höchster Ebene und zivile sowie militärische Organisationen in Ländern wie den Philippinen, Malaysia, Kambodscha, Indonesien, Vietnam, Myanmar, Singapur, Nepal, Thailand, Laos und China an.

naikon_1

Köder

Ein Angriff beginnt typischerweise mit einer E-Mail mit einem Attachment, das Informationen enthält, die für das potenzielle Opfer von Interesse sind. Das Dokument kann auf Informationen aus offenen Quellen oder auf geheimen Informationen basieren, die von anderen kompromittierten Systemen gestohlen wurden.

Dieses Lock-„Dokument“ oder E-Mail-Attachment sieht aus wie ein standardmäßiges Word-Dokument, aber tatsächlich handelt es sich dabei um ein Exploit zu der Sicherheitslücke CVE-2012-0158, eine ausführbare Datei mit einer doppelten Erweiterung oder eine ausführbare Datei mit einem RTLO-Dateinamen, so dass es Code ausführen kann, ohne dass der Nutzer davon weiß oder dem zustimmt. Wenn die ausführbare Datei gestartet wird, wird auf dem Opfercomputer Spyware installiert, während gleichzeitig für den User ein Köderdokument angezeigt wird, um ihm vorzugaukeln, dass er einfach ein Dokument geöffnet hat.

Konfiguration

Das Naikon-Tool erster Wahl generiert eine spezielle kleine, verschlüsselte Datei mit einer Größe von 8.000 Bytes, die Code enthält, der zusammen mit den Konfigurationsdaten in den Browser eingeschleust wird. Mit Hilfe eines Start-up-Moduls wird diese ganze Datei in den Browserspeicher eingeschleust und entschlüsselt den Konfigurationsblock mit folgendem Inhalt:

  • C&C-Server
  • Ports und Pfade zu dem Server
  • User-Agent-String
  • Dateinamen und Pfade zu ihren Komponenten
  • Hashsumme der User-API-Funktionen

Derselbe Code lädt dann unter Verwendung des SSL-Protokolls seinen Hauptkörper vom C&C-Server, lädt ihn unabhängig von den Betriebssystemfunktionen und gibt die Kontrolle – ohne ihn auf der Festplatte zu speichern – an die XS02-Funktion weiter. Die gesamte Funktionalität wird im Speicher abgewickelt.

naikon_2

Payload

Das Hauptmodul ist ein Tool zur Fernsteuerung. Unter Verwendung von SSL baut das Modul wie folgt eine umgekehrte Verbindung zu dem C&C-Server auf: Es installiert eine ausgehende Verbindung zu dem C&C-Server und überprüft, ob ein Befehl zur Ausführung besteht. Gibt es einen solchen Befehl, führt es diesen aus und schickt das Ergebnis an den C&C. Es gibt 48 Befehle im Repertoire des Moduls, die ein entfernter Betreiber nutzen kann, um den Opfercomputer effektiv zu steuern. Das beinhaltet auch eine komplette Bestandsaufnahme, den Down- und Upload von Daten, das Installieren von Add-on-Modulen oder das Arbeiten mit der Befehlszeile.

Hier die vollständige Befehlsliste:

0 CMD_MAIN_INFO
1 CMD_PROCESS_REFRESH
2 CMD_PROCESS_NAME
3 CMD_PROCESS_KILL
4 CMD_PROCESS_MODULE
5 CMD_DRIVE_REFRESH
6 CMD_DIRECTORY
7 CMD_DIRECTORY_CREATE
8 CMD_DIRECTORY_CREATE_HIDDEN
9 CMD_DIRECTORY_DELETE
10 CMD_DIRECTORY_RENAME
11 CMD_DIRECOTRY_DOWNLOAD
12 CMD_FILE_REFRESH
13 CMD_FILE_DELETE
14 CMD_FILE_RENAME
15 CMD_FILE_EXECUTE_NORMAL
16 CMD_FILE_EXECUTE_HIDDEN
17 CMD_FILE_EXECUTE_NORMAL_CMD
18 CMD_FILE_EXECUTE_HIDDEN_CMD
19 CMD_FILE_UPLOAD
20 CMD_FILE_DOWNLOAD
21 CMD_WINDOWS_INFO
22 CMD_WINDOWS_MESSAGE
23 CMD_SHELL_OPEN
24 CMD_SHELL_CLOSE
25 CMD_SHELL_WRITE
26 CMD_SERVICE_REFRESH
27 CMD_SERVICE_CONTROL
28 CMD_PROGRAM_INFO
29 CMD_UNINSTALL_PROGRAM
30 CMD_REGESTRY_INFO
31 CMD_ADD_AUTO_START
32 CMD_MY_PLUGIN
33 CMD_3RD_PLUGIN
34 CMD_REG_CREATEKEY
35 CMD_REG_DELETEKEY
36 CMD_REG_SETVALUE
37 CMD_REG_DELETEVALUE
38 CMD_SELF_KILL
39 CMD_SELF_RESTART
40 CMD_SELF_CONFIG
41 CMD_SELF_UPDATE
42 CMD_SERVER_INFO
43 CMD_INSTALL_SERVICE
44 CMD_FILE_DOWNLOAD2
45 CMD_RESET
46 CMD_CONNECTION_TABLE
50 CMD_HEART_BEAT

Es existieren mehrere Modifikationen des Hauptmoduls. Allerdings gibt es keine fundamentalen Unterschiede zwischen den Modifikationen; der neusten Version werden lediglich zusätzliche Funktionen hinzugefügt, wie z.B. Komprimierung und Verschlüsselung der übertragenen Daten oder der stückweise Download großer Dateien.

d085ba82824c1e61e93e113a705b8e9a 118272 Aug 23 18:46:57 2012
b4a8dc9eb26e727eafb6c8477963829c 140800 May 20 11:56:38 2013
172fd9cce78de38d8cbcad605e3d6675 118784 Jun 13 12:14:40 2013
d74a7e7a4de0da503472f1f051b68745 190464 Aug 19 05:30:12 2013
93e84075bef7a11832d9c5aa70135dc6 154624 Jan 07 04:39:43 2014

CC-Proxy-Operationen

C&C-Server-Operationen werden durch das Folgende charakterisiert:

  • Geringer Wartungsaufwand
  • Organisierte, geospezifische Aufgabenzuweisung
  • Unterschiedliche Kommunikationsansätze

Für die C&C-Server müssen nur einige wenige Operatoren benötigt werden, um das gesamte Netzwerk zu verwalten. Jeder Operator konzentriert sich dabei anscheinend auf seine ganz eigene Auswahl an Zielen, denn es gibt einen Zusammenhang zwischen den C&C und dem Standort der Ziele/Opfer.

Die Kommunikation mit den Opfersystemen änderte sich in Abhängigkeit von den daran beteiligten Zielen. In einigen Fällen wurde eine direkte Verbindung zwischen dem Opfercomputer und dem Steuerungsserver aufgebaut. In anderen Fällen wurde die Verbindung über ausgewählte Proxyserver aufgebaut, installiert auf ausgewählten Servern, die in Drittländern angemietet werden. Allem Anschein nach war dieses zusätzliche Setup eine Reaktion auf die Netzwerkadministratoren an einigen Zielen, die die ausgehenden Netzwerkverbindungen ihrer Organisationen einschränken oder verfolgen.

Hier ist eine unvollständige Liste der C&C-Server und Opferstandorte, die den geospezifischen Zusammenhang veranschaulicht:

ID Jakarta linda.googlenow.in
ID Jakarta admin0805.gnway.net
ID Jakarta free.googlenow.in
ID   frankhere.oicp.net
ID Bandung frankhere.oicp.net
ID Bandung telcom.dhtu.info
ID Jakarta laotel08.vicp.net
JP Tokyo greensky27.vicp.net
KH   googlemm.vicp.net
KH Phnom Penh googlemm.vicp.net
MM   peacesyou.imwork.net
MM   sayakyaw.xicp.net
MM   ubaoyouxiang.gicp.net
MM Yangon htkg009.gicp.net
MM   kyawthumyin.xicp.net
MM   myanmartech.vicp.net
MM   test-user123.vicp.cc
MY   us.googlereader.pw
MY   net.googlereader.pw
MY   lovethai.vicp.net
MY   yahoo.goodns.in
MY Putrajaya xl.findmy.pw
MY Putrajaya xl.kevins.pw
PH Caloocan oraydns.googlesec.pw
PH Caloocan gov.yahoomail.pw
PH   pp.googledata.pw
PH   xl.findmy.pw
PH   mlfjcjssl.gicp.net
PH   o.wm.ggpw.pw
PH   oooppp.findmy.pw
PH   cipta.kevins.pw
PH   phi.yahoomail.pw
SG Singapore xl.findmy.pw
SG Singapore dd.googleoffice.in
VN Hanoi moziliafirefox.wicp.net
VN Hanoi bkav.imshop.in
VN Hanoi baomoi.coyo.eu
VN Dong Ket macstore.vicp.cc
VN Hanoi downloadwindows.imwork.net
VN Hanoi vietkey.xicp.net
VN Hanoi baomoi.vicp.cc
VN Hanoi downloadwindow.imwork.net
VN Binh Duong www.ttxvn.net
VN Binh Duong vietlex.gnway.net
VN Hanoi www.ttxvn.net
VN Hanoi us.googlereader.pw
VN Hanoi yahoo.goodns.in
VN Hanoi lovethai.vicp.net
VN Hanoi vietlex.gnway.net

XSControl – die „Opfer-Management-Software“ der Naikon-APT

Im Naikon-Schema kann ein C&C-Server auf XSControl-Software spezialisiert sein, die auf dem Host-Rechner läuft. Sie wird benutzt, um das gesamte Netzwerk von infizierten Clients zu verwalten. In einigen Fällen wird ein Proxy benutzt, um den Opfer-Traffic zu dem XSControl-Server umzuleiten. Ein Naikon-Proxy-Server ist ein zweckbestimmter Server, der eingehende Verbindungen von Opfercomputern annimmt und sie an den C&C des Operators weiterleitet. Ein individueller Naikon-Proxy-Server kann in jedem Zielland installiert werden, um den Traffic von den Opfersystemen zu den entsprechenden C&C-Servern umzuleiten.

XSControl ist in .NET unter Verwendung von DevExpress geschrieben:

xs8
xs9

Seine Hauptfunktionen sind:

  • Erstverbindungen von Clients akzeptieren.
  • Clients mit dem Haupt-Fernwartungsmodul ausstatten.
  • Sie befähigen, entfernt infizierte Computer mit Hilfe einer grafischen Benutzeroberfläche zu verwalten.
  • Protokolle über die Client-Aktivität führen.
  • Protokolle über die Operator-Aktivität führen.
  • Protokolle und Dateien auf einen FTP-Server hochladen.

Die Aktivitäts-Protokolle des Operators enthalten das Folgende:

  • Eine XML-Datenbank der heruntergeladenen Dateien, in der die Zeit der Operation, der Remote-Pfad und der lokale Pfad spezifiziert werden.
  • Eine Datenbank mit Dateinamen sowie die Registrierungsschlüssel des Opfercomputers für die Ordner und angefragten Sektionen.
  • Den Verlauf der ausgeführten Befehle.

Land X, Operator X

Hier nun ein Überblick über die Naikon-Kampagne mit einem Fokus auf das Land „X“.

Die Analyse hat ergeben, dass die Cyberspionage-Kampagne gegen Land X seit vielen Jahren läuft. Mit den Fernsteuerungsmodulen ausgerüstete Computer statteten die Angreifer mit Zugriff auf die dienstlichen E-Mails und internen Ressourcen sowie mit Zugriff auf persönliche und berufliche Inhalte aus, die auf externen Diensten gehostet werden.

Es folgt eine unvollständige Liste der Opfer von Naikons „Operator X“-Spionagekampagne in Land X.

  • Büro des Präsidenten
  • Militär
  • Büro des Kabinettssekretärs
  • Nationaler Sicherheitsrat
  • Büro des Generalstaatsanwalts
  • Nationale Geheimdienst-Koordinierungsstelle
  • Zivile Luftfahrtbehörde
  • Justizministerium
  • Bundespolizei
  • Exekutives/präsidiales Verwaltungs- und Managementpersonal

Einige dieser Organisationen gehörten zu den Schlüsselzielen und waren unter dauerhafter Beobachtung in Echtzeit. Während des Netzwerk-Monitorings von Operator X platzierten die Angreifer Naikon-Proxys innerhalb der Landesgrenzen, um ausgehende Verbindungen und Datenausschleusung von prominenten Opferorganisationen in Echtzeit zu verhüllen und zu unterstützen.

Um an die Anmeldedaten der Mitarbeiter zu gelangen, verwendete Operator X manchmal Keylogger. Wenn nötig, lieferte Operator X sie durch den Fernsteuerungsclient. Dieser Angreifer stahl nicht nur die Tastaturbetätigungen, sondern fing auch den Netzwerktraffic ab. Zu den lateralen Bewegungen gehörten das Kopieren und entfernte Konfigurieren von WinPcap auf allen Desktop-Systemen innerhalb sensitiver Büronetzwerke, um dann remote AT-Jobs einzurichten, um diese Netzwerkschnüffler auszuführen. Einige APTs wie Naikon verteilen Tools wie diese über mehrere Systeme, um die Kontrolle zurückzuerlangen, wenn sie aus Versehen verloren gegangenen ist, und um die Nachhaltigkeit aufrecht zu erhalten.

Operator X hat sich auch kulturelle Eigenheiten seiner Zielländer zunutze gemacht, beispielsweise die reguläre und allgemein akzeptierte Verwendung von privaten Gmail-Accounts für die Arbeit. So war es nicht schwierig, für die Naikon APT ähnlich aussehende E-Mail-Adressen zu registrieren, und die Opfer mit gezielten Phishing-Mails mit Attachments, Links auf Sites, die Malware bereitstellen, und Links auf google drive in die Falle zu locken.

Das Imperium schlägt zurück

Hin und wieder gerät die Naikon-Gruppe mit anderen APT-Gruppen aneinander, die ebenfalls in der Region aktiv sind. Insbesondere konnten wir verfolgen, dass die Naikon-Gruppe durch gezielte Phishing-Mails von einem Bedrohungsakteur geködert wurde, den wir jetzt „Hellsing“ nennen. Mehr zu dem abenteuerlichen Hin und Her zwischen Naikon und Hellsing finden Sie in unserem Blogpost: „ Chronik der Hellsing-APT: Das Imperium schlägt zurück„.

Related Articles

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.