Die Naikon APT und die MsnMM-Kampagnen

Die ersten bekannten Kampagnen der Naikon APT

The MsnMM Campaigns [pdf, ENG]

Seit mehr als einem halben Jahrzehnt führt die Naikon APT zahlreiche Kampagnen auf sensitive Ziele in ganz Südostasien und rund um das Südchinesische Meer durch. Dieser Bedrohungsakteur hat einen höchst offensiven Fokus auf Myanmar, Vietnam, Singapur, die Philippinen, Malaysia und Laos. Unter den Zielen und Opfern waren Regierungsbehörden und Regierungsabteilungen, Investmentfirmen, das Militär, Strafverfolgungsbehörden, Grenzkontrollorganisationen, Botschaften und Universitätsfakultäten in der ASEAN-Region.

Teile der Kampagnen wurden aufgrund der Natur ihrer Tools öffentlich diskutiert. Die MsnMM-Backdoors bekamen beispielsweise interne Namen wie etwa “WinMM” und “SslMM” und ihre Dateinamen waren eine Parodie auf MSN Talk und Msn Gaming Zone. Die Backdoor-Bezeichnung “naikon” ist abgeleitet von dem User-Agent-String “NOKIAN95″. Aber die msnMM-, naikon-, sakto- und rarstone-Backdoors werden alle von demselben Akteur verwendet, den wir Naikon APT nennen. Die Tools für die zweite Angriffsetappe waren lange unbekannt, doch der vorliegende Artikel enthält eine Liste dieser Werkzeuge.

Die Naikon-Angreifer versuchten sensitive geopolitische, militärische und wirtschaftliche Daten auszuschleusen, die Kommunikation abzufangen und die Überwachung ihrer Opfer während der gesamten MsnMM-Kampagnen aufrechtzuerhalten. Die Auswahl ihrer Tools und Techniken änderte sich mit der Zeit in vielen Details, und es scheint als würden sie von chinesischsprachigen Individuen ausgeführt werden. Die Infrastruktur der Gruppe, die auf Webanwendungen basiert, welche zumeist über dynamische DNS-Domains angelegt sind, überschnitt sich Kampagnen übergreifend. Wie schon früher beschrieben, sind die Methoden und Techniken dieser APT recht simpel, aber gegenüber der Verteidigung der Ziele höchst effizient. Wir finden hier keine 0-Days.

Ein großer Teil des Inhalts der Spearphishing- und Köder-Dokumente der Naikon APT fallen, ebenso wie die Bereitstellung, mit hochbrisanten geopolitischen Ereignissen zusammen. Die stimmige Liste der militärischen, wirtschaftlichen und politischen Ziele gibt die Interessen des Akteurs preis. In den frühen Kampagnen von Naikon wurden die Backdoors exe_exchange, winMM, und sys10 eingesetzt und die Codebasis wurde erst später in kundenspezifisch maßgeschneiderte Tools eingebaut. Die MsnMM-Kampagnen begannen Anfang des Jahres 2014 und schlummerten dann ein, bevor die später im Jahr bis ins Jahr 2015 wieder an Fahrt aufnahmen.

Vergleicht man die Naikon APT mit anderen APTs, so ist es interessant festzustellen, dass die Opfer der Naikon APT zum Teil gleichzeitig auch Opfer der Cycldek APT sind. Cycldek ist ebenfalls eine beständige, jedoch schwächere APT. Hinzu kommt, dass das Zielprofil der APT30 dem der Naikon APT entspricht und die Auswahl der Tools weist zwar geringe, aber merkliche Ähnlichkeiten auf. Und die späten Naikon-Kampagnen führten zu einem Zusammenstoß mit der Hellsing APT, als „das Empire zurückschlug.“

Obgleich verschiedene Aspekte der Malware-Auswahl in einigen Blogs und anderen Artikeln besprochen wurden, gab es bisher keinen ausführlichen Bericht, der die Details der MsnMM-, Sys10- und Naikon-Kampagnen als das Werk eines Teams zusammenfasst, und zwar der Naikon APT. Während dieser Bericht die vergangene Aktivität zum Inhalt hat, ist die Naikon APT noch immer aktiv und installiert nun eine neuere Codebasis. Unter den Top-Zielen des Jahres 2015, von denen wir wissen, sind Organisationen in Myanmar, Kambodscha, Vietnam, Thailand und Laos.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.