Analysen

Die Naikon APT und die MsnMM-Kampagnen

Die ersten bekannten Kampagnen der Naikon APT

The MsnMM Campaigns [pdf, ENG]

Seit mehr als einem halben Jahrzehnt führt die Naikon APT zahlreiche Kampagnen auf sensitive Ziele in ganz Südostasien und rund um das Südchinesische Meer durch. Dieser Bedrohungsakteur hat einen höchst offensiven Fokus auf Myanmar, Vietnam, Singapur, die Philippinen, Malaysia und Laos. Unter den Zielen und Opfern waren Regierungsbehörden und Regierungsabteilungen, Investmentfirmen, das Militär, Strafverfolgungsbehörden, Grenzkontrollorganisationen, Botschaften und Universitätsfakultäten in der ASEAN-Region.

Teile der Kampagnen wurden aufgrund der Natur ihrer Tools öffentlich diskutiert. Die MsnMM-Backdoors bekamen beispielsweise interne Namen wie etwa “WinMM” und “SslMM” und ihre Dateinamen waren eine Parodie auf MSN Talk und Msn Gaming Zone. Die Backdoor-Bezeichnung “naikon” ist abgeleitet von dem User-Agent-String “NOKIAN95″. Aber die msnMM-, naikon-, sakto- und rarstone-Backdoors werden alle von demselben Akteur verwendet, den wir Naikon APT nennen. Die Tools für die zweite Angriffsetappe waren lange unbekannt, doch der vorliegende Artikel enthält eine Liste dieser Werkzeuge.

Die Naikon-Angreifer versuchten sensitive geopolitische, militärische und wirtschaftliche Daten auszuschleusen, die Kommunikation abzufangen und die Überwachung ihrer Opfer während der gesamten MsnMM-Kampagnen aufrechtzuerhalten. Die Auswahl ihrer Tools und Techniken änderte sich mit der Zeit in vielen Details, und es scheint als würden sie von chinesischsprachigen Individuen ausgeführt werden. Die Infrastruktur der Gruppe, die auf Webanwendungen basiert, welche zumeist über dynamische DNS-Domains angelegt sind, überschnitt sich Kampagnen übergreifend. Wie schon früher beschrieben, sind die Methoden und Techniken dieser APT recht simpel, aber gegenüber der Verteidigung der Ziele höchst effizient. Wir finden hier keine 0-Days.

Ein großer Teil des Inhalts der Spearphishing- und Köder-Dokumente der Naikon APT fallen, ebenso wie die Bereitstellung, mit hochbrisanten geopolitischen Ereignissen zusammen. Die stimmige Liste der militärischen, wirtschaftlichen und politischen Ziele gibt die Interessen des Akteurs preis. In den frühen Kampagnen von Naikon wurden die Backdoors exe_exchange, winMM, und sys10 eingesetzt und die Codebasis wurde erst später in kundenspezifisch maßgeschneiderte Tools eingebaut. Die MsnMM-Kampagnen begannen Anfang des Jahres 2014 und schlummerten dann ein, bevor die später im Jahr bis ins Jahr 2015 wieder an Fahrt aufnahmen.

Vergleicht man die Naikon APT mit anderen APTs, so ist es interessant festzustellen, dass die Opfer der Naikon APT zum Teil gleichzeitig auch Opfer der Cycldek APT sind. Cycldek ist ebenfalls eine beständige, jedoch schwächere APT. Hinzu kommt, dass das Zielprofil der APT30 dem der Naikon APT entspricht und die Auswahl der Tools weist zwar geringe, aber merkliche Ähnlichkeiten auf. Und die späten Naikon-Kampagnen führten zu einem Zusammenstoß mit der Hellsing APT, als „das Empire zurückschlug.“

Obgleich verschiedene Aspekte der Malware-Auswahl in einigen Blogs und anderen Artikeln besprochen wurden, gab es bisher keinen ausführlichen Bericht, der die Details der MsnMM-, Sys10- und Naikon-Kampagnen als das Werk eines Teams zusammenfasst, und zwar der Naikon APT. Während dieser Bericht die vergangene Aktivität zum Inhalt hat, ist die Naikon APT noch immer aktiv und installiert nun eine neuere Codebasis. Unter den Top-Zielen des Jahres 2015, von denen wir wissen, sind Organisationen in Myanmar, Kambodscha, Vietnam, Thailand und Laos.

Die Naikon APT und die MsnMM-Kampagnen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach