Unser kürzlich erschienener Bericht „Chronik der Hellsing-APT: Das Imperium schlägt zurück“ begann mit einer Vorstellung der Naikon APT, die wir als „eine der aktivsten APT-Gruppen in Asien – und insbesondere im Gebiet des Südchinesischen Meeres“ beschrieben. Naikon wurde auf Grund seiner Rolle in einer Geschichte erwähnt, die sich als eine der erstaunlichsten Vergeltungsaktionen überhaupt erwies. Dabei war es eine Naikon-Attacke auf eine mit Hellsing in Verbindung stehenden Organisation, die uns erstmals auf die Hellsing-APT aufmerksam machte. Unter Berücksichtigung des Umfangs der beobachteten Naikon-Aktivität und der unaufhaltsamen, wiederholten Angriffsversuche, schien uns, dass eine solche Konfrontation es wert ist, einmal genauer unter die Lupe genommen zu werden. Und das taten wir dann auch.
Die Naikon-APT steht in einer Reihe mit dem Akteur, den unsere Kollegen von FireEye kürzlich als APT30 identifizierten, doch wir konnten keine eindeutigen Übereinstimmungen feststellen. Es ist auch kaum überraschend, dass es hier Überschneidungen gibt, wenn man bedenkt, dass beide Akteure jahrelang Opfer im Gebiet des Südchinesischen Meeres vermint haben, offensichtlich auf der Suche nach geopolitischer Spionagetätigkeit.
Dieser Naikon-Bericht wird von einem Folge-Bericht ergänzt, der die Naikon-ATP und das unglaubliche Volumen von Angriffsaktivität rund um das Südchinesische Meer beleuchtet, die mindestens seit dem Jahr 2010 andauert.
Zu den nennenswerten operativen und logistischen Charakteristika dieser APT gehören:
- Mindestens schon fünf Jahre andauernde massenhafte und geopolitische Angriffsaktivität auf prominente Ziele.
- Geographischer Fokus – pro Land individuelle Operator-Zuweisung und Proxy-Präsenz
- Dynamische, gut organisierte Infrastruktur
- Verlass auf ein extern entwickeltes, gleichbleibendes Tool-Set, das eine voll ausgestattete Backdoor, einen Erbauer und ein Exploit-Entwurfsmuster umfasst.
- Hohe Erfolgsraten beim Infiltrieren nationaler Organisationen in ASEAN-Staaten.
Extrem fokussiert und effektiv im Bereich des Südchinesischen Meeres
Im Frühjahr 2014 registrierten wir eine Zunahme des Angriffsvolumens der Naikon APT. Die Angreifer schienen chinesischsprachig zu sein und griffen in erster Linie Regierungsbehörden auf höchster Ebene und zivile sowie militärische Organisationen in Ländern wie den Philippinen, Malaysia, Kambodscha, Indonesien, Vietnam, Myanmar, Singapur, Nepal, Thailand, Laos und China an.
Köder
Ein Angriff beginnt typischerweise mit einer E-Mail mit einem Attachment, das Informationen enthält, die für das potenzielle Opfer von Interesse sind. Das Dokument kann auf Informationen aus offenen Quellen oder auf geheimen Informationen basieren, die von anderen kompromittierten Systemen gestohlen wurden.
Dieses Lock-„Dokument“ oder E-Mail-Attachment sieht aus wie ein standardmäßiges Word-Dokument, aber tatsächlich handelt es sich dabei um ein Exploit zu der Sicherheitslücke CVE-2012-0158, eine ausführbare Datei mit einer doppelten Erweiterung oder eine ausführbare Datei mit einem RTLO-Dateinamen, so dass es Code ausführen kann, ohne dass der Nutzer davon weiß oder dem zustimmt. Wenn die ausführbare Datei gestartet wird, wird auf dem Opfercomputer Spyware installiert, während gleichzeitig für den User ein Köderdokument angezeigt wird, um ihm vorzugaukeln, dass er einfach ein Dokument geöffnet hat.
Konfiguration
Das Naikon-Tool erster Wahl generiert eine spezielle kleine, verschlüsselte Datei mit einer Größe von 8.000 Bytes, die Code enthält, der zusammen mit den Konfigurationsdaten in den Browser eingeschleust wird. Mit Hilfe eines Start-up-Moduls wird diese ganze Datei in den Browserspeicher eingeschleust und entschlüsselt den Konfigurationsblock mit folgendem Inhalt:
- C&C-Server
- Ports und Pfade zu dem Server
- User-Agent-String
- Dateinamen und Pfade zu ihren Komponenten
- Hashsumme der User-API-Funktionen
Derselbe Code lädt dann unter Verwendung des SSL-Protokolls seinen Hauptkörper vom C&C-Server, lädt ihn unabhängig von den Betriebssystemfunktionen und gibt die Kontrolle – ohne ihn auf der Festplatte zu speichern – an die XS02-Funktion weiter. Die gesamte Funktionalität wird im Speicher abgewickelt.
Payload
Das Hauptmodul ist ein Tool zur Fernsteuerung. Unter Verwendung von SSL baut das Modul wie folgt eine umgekehrte Verbindung zu dem C&C-Server auf: Es installiert eine ausgehende Verbindung zu dem C&C-Server und überprüft, ob ein Befehl zur Ausführung besteht. Gibt es einen solchen Befehl, führt es diesen aus und schickt das Ergebnis an den C&C. Es gibt 48 Befehle im Repertoire des Moduls, die ein entfernter Betreiber nutzen kann, um den Opfercomputer effektiv zu steuern. Das beinhaltet auch eine komplette Bestandsaufnahme, den Down- und Upload von Daten, das Installieren von Add-on-Modulen oder das Arbeiten mit der Befehlszeile.
Hier die vollständige Befehlsliste:
| 0 | CMD_MAIN_INFO |
| 1 | CMD_PROCESS_REFRESH |
| 2 | CMD_PROCESS_NAME |
| 3 | CMD_PROCESS_KILL |
| 4 | CMD_PROCESS_MODULE |
| 5 | CMD_DRIVE_REFRESH |
| 6 | CMD_DIRECTORY |
| 7 | CMD_DIRECTORY_CREATE |
| 8 | CMD_DIRECTORY_CREATE_HIDDEN |
| 9 | CMD_DIRECTORY_DELETE |
| 10 | CMD_DIRECTORY_RENAME |
| 11 | CMD_DIRECOTRY_DOWNLOAD |
| 12 | CMD_FILE_REFRESH |
| 13 | CMD_FILE_DELETE |
| 14 | CMD_FILE_RENAME |
| 15 | CMD_FILE_EXECUTE_NORMAL |
| 16 | CMD_FILE_EXECUTE_HIDDEN |
| 17 | CMD_FILE_EXECUTE_NORMAL_CMD |
| 18 | CMD_FILE_EXECUTE_HIDDEN_CMD |
| 19 | CMD_FILE_UPLOAD |
| 20 | CMD_FILE_DOWNLOAD |
| 21 | CMD_WINDOWS_INFO |
| 22 | CMD_WINDOWS_MESSAGE |
| 23 | CMD_SHELL_OPEN |
| 24 | CMD_SHELL_CLOSE |
| 25 | CMD_SHELL_WRITE |
| 26 | CMD_SERVICE_REFRESH |
| 27 | CMD_SERVICE_CONTROL |
| 28 | CMD_PROGRAM_INFO |
| 29 | CMD_UNINSTALL_PROGRAM |
| 30 | CMD_REGESTRY_INFO |
| 31 | CMD_ADD_AUTO_START |
| 32 | CMD_MY_PLUGIN |
| 33 | CMD_3RD_PLUGIN |
| 34 | CMD_REG_CREATEKEY |
| 35 | CMD_REG_DELETEKEY |
| 36 | CMD_REG_SETVALUE |
| 37 | CMD_REG_DELETEVALUE |
| 38 | CMD_SELF_KILL |
| 39 | CMD_SELF_RESTART |
| 40 | CMD_SELF_CONFIG |
| 41 | CMD_SELF_UPDATE |
| 42 | CMD_SERVER_INFO |
| 43 | CMD_INSTALL_SERVICE |
| 44 | CMD_FILE_DOWNLOAD2 |
| 45 | CMD_RESET |
| 46 | CMD_CONNECTION_TABLE |
| 50 | CMD_HEART_BEAT |
Es existieren mehrere Modifikationen des Hauptmoduls. Allerdings gibt es keine fundamentalen Unterschiede zwischen den Modifikationen; der neusten Version werden lediglich zusätzliche Funktionen hinzugefügt, wie z.B. Komprimierung und Verschlüsselung der übertragenen Daten oder der stückweise Download großer Dateien.
| d085ba82824c1e61e93e113a705b8e9a | 118272 | Aug 23 18:46:57 2012 |
| b4a8dc9eb26e727eafb6c8477963829c | 140800 | May 20 11:56:38 2013 |
| 172fd9cce78de38d8cbcad605e3d6675 | 118784 | Jun 13 12:14:40 2013 |
| d74a7e7a4de0da503472f1f051b68745 | 190464 | Aug 19 05:30:12 2013 |
| 93e84075bef7a11832d9c5aa70135dc6 | 154624 | Jan 07 04:39:43 2014 |
CC-Proxy-Operationen
C&C-Server-Operationen werden durch das Folgende charakterisiert:
- Geringer Wartungsaufwand
- Organisierte, geospezifische Aufgabenzuweisung
- Unterschiedliche Kommunikationsansätze
Für die C&C-Server müssen nur einige wenige Operatoren benötigt werden, um das gesamte Netzwerk zu verwalten. Jeder Operator konzentriert sich dabei anscheinend auf seine ganz eigene Auswahl an Zielen, denn es gibt einen Zusammenhang zwischen den C&C und dem Standort der Ziele/Opfer.
Die Kommunikation mit den Opfersystemen änderte sich in Abhängigkeit von den daran beteiligten Zielen. In einigen Fällen wurde eine direkte Verbindung zwischen dem Opfercomputer und dem Steuerungsserver aufgebaut. In anderen Fällen wurde die Verbindung über ausgewählte Proxyserver aufgebaut, installiert auf ausgewählten Servern, die in Drittländern angemietet werden. Allem Anschein nach war dieses zusätzliche Setup eine Reaktion auf die Netzwerkadministratoren an einigen Zielen, die die ausgehenden Netzwerkverbindungen ihrer Organisationen einschränken oder verfolgen.
Hier ist eine unvollständige Liste der C&C-Server und Opferstandorte, die den geospezifischen Zusammenhang veranschaulicht:
| ID | Jakarta | linda.googlenow.in |
| ID | Jakarta | admin0805.gnway.net |
| ID | Jakarta | free.googlenow.in |
| ID | frankhere.oicp.net | |
| ID | Bandung | frankhere.oicp.net |
| ID | Bandung | telcom.dhtu.info |
| ID | Jakarta | laotel08.vicp.net |
| JP | Tokyo | greensky27.vicp.net |
| KH | googlemm.vicp.net | |
| KH | Phnom Penh | googlemm.vicp.net |
| MM | peacesyou.imwork.net | |
| MM | sayakyaw.xicp.net | |
| MM | ubaoyouxiang.gicp.net | |
| MM | Yangon | htkg009.gicp.net |
| MM | kyawthumyin.xicp.net | |
| MM | myanmartech.vicp.net | |
| MM | test-user123.vicp.cc | |
| MY | us.googlereader.pw | |
| MY | net.googlereader.pw | |
| MY | lovethai.vicp.net | |
| MY | yahoo.goodns.in | |
| MY | Putrajaya | xl.findmy.pw |
| MY | Putrajaya | xl.kevins.pw |
| PH | Caloocan | oraydns.googlesec.pw |
| PH | Caloocan | gov.yahoomail.pw |
| PH | pp.googledata.pw | |
| PH | xl.findmy.pw | |
| PH | mlfjcjssl.gicp.net | |
| PH | o.wm.ggpw.pw | |
| PH | oooppp.findmy.pw | |
| PH | cipta.kevins.pw | |
| PH | phi.yahoomail.pw | |
| SG | Singapore | xl.findmy.pw |
| SG | Singapore | dd.googleoffice.in |
| VN | Hanoi | moziliafirefox.wicp.net |
| VN | Hanoi | bkav.imshop.in |
| VN | Hanoi | baomoi.coyo.eu |
| VN | Dong Ket | macstore.vicp.cc |
| VN | Hanoi | downloadwindows.imwork.net |
| VN | Hanoi | vietkey.xicp.net |
| VN | Hanoi | baomoi.vicp.cc |
| VN | Hanoi | downloadwindow.imwork.net |
| VN | Binh Duong | www.ttxvn.net |
| VN | Binh Duong | vietlex.gnway.net |
| VN | Hanoi | www.ttxvn.net |
| VN | Hanoi | us.googlereader.pw |
| VN | Hanoi | yahoo.goodns.in |
| VN | Hanoi | lovethai.vicp.net |
| VN | Hanoi | vietlex.gnway.net |
XSControl – die „Opfer-Management-Software“ der Naikon-APT
Im Naikon-Schema kann ein C&C-Server auf XSControl-Software spezialisiert sein, die auf dem Host-Rechner läuft. Sie wird benutzt, um das gesamte Netzwerk von infizierten Clients zu verwalten. In einigen Fällen wird ein Proxy benutzt, um den Opfer-Traffic zu dem XSControl-Server umzuleiten. Ein Naikon-Proxy-Server ist ein zweckbestimmter Server, der eingehende Verbindungen von Opfercomputern annimmt und sie an den C&C des Operators weiterleitet. Ein individueller Naikon-Proxy-Server kann in jedem Zielland installiert werden, um den Traffic von den Opfersystemen zu den entsprechenden C&C-Servern umzuleiten.
XSControl ist in .NET unter Verwendung von DevExpress geschrieben:
Seine Hauptfunktionen sind:
- Erstverbindungen von Clients akzeptieren.
- Clients mit dem Haupt-Fernwartungsmodul ausstatten.
- Sie befähigen, entfernt infizierte Computer mit Hilfe einer grafischen Benutzeroberfläche zu verwalten.
- Protokolle über die Client-Aktivität führen.
- Protokolle über die Operator-Aktivität führen.
- Protokolle und Dateien auf einen FTP-Server hochladen.
Die Aktivitäts-Protokolle des Operators enthalten das Folgende:
- Eine XML-Datenbank der heruntergeladenen Dateien, in der die Zeit der Operation, der Remote-Pfad und der lokale Pfad spezifiziert werden.
- Eine Datenbank mit Dateinamen sowie die Registrierungsschlüssel des Opfercomputers für die Ordner und angefragten Sektionen.
- Den Verlauf der ausgeführten Befehle.
Land X, Operator X
Hier nun ein Überblick über die Naikon-Kampagne mit einem Fokus auf das Land „X“.
Die Analyse hat ergeben, dass die Cyberspionage-Kampagne gegen Land X seit vielen Jahren läuft. Mit den Fernsteuerungsmodulen ausgerüstete Computer statteten die Angreifer mit Zugriff auf die dienstlichen E-Mails und internen Ressourcen sowie mit Zugriff auf persönliche und berufliche Inhalte aus, die auf externen Diensten gehostet werden.
Es folgt eine unvollständige Liste der Opfer von Naikons „Operator X“-Spionagekampagne in Land X.
- Büro des Präsidenten
- Militär
- Büro des Kabinettssekretärs
- Nationaler Sicherheitsrat
- Büro des Generalstaatsanwalts
- Nationale Geheimdienst-Koordinierungsstelle
- Zivile Luftfahrtbehörde
- Justizministerium
- Bundespolizei
- Exekutives/präsidiales Verwaltungs- und Managementpersonal
Einige dieser Organisationen gehörten zu den Schlüsselzielen und waren unter dauerhafter Beobachtung in Echtzeit. Während des Netzwerk-Monitorings von Operator X platzierten die Angreifer Naikon-Proxys innerhalb der Landesgrenzen, um ausgehende Verbindungen und Datenausschleusung von prominenten Opferorganisationen in Echtzeit zu verhüllen und zu unterstützen.
Um an die Anmeldedaten der Mitarbeiter zu gelangen, verwendete Operator X manchmal Keylogger. Wenn nötig, lieferte Operator X sie durch den Fernsteuerungsclient. Dieser Angreifer stahl nicht nur die Tastaturbetätigungen, sondern fing auch den Netzwerktraffic ab. Zu den lateralen Bewegungen gehörten das Kopieren und entfernte Konfigurieren von WinPcap auf allen Desktop-Systemen innerhalb sensitiver Büronetzwerke, um dann remote AT-Jobs einzurichten, um diese Netzwerkschnüffler auszuführen. Einige APTs wie Naikon verteilen Tools wie diese über mehrere Systeme, um die Kontrolle zurückzuerlangen, wenn sie aus Versehen verloren gegangenen ist, und um die Nachhaltigkeit aufrecht zu erhalten.
Operator X hat sich auch kulturelle Eigenheiten seiner Zielländer zunutze gemacht, beispielsweise die reguläre und allgemein akzeptierte Verwendung von privaten Gmail-Accounts für die Arbeit. So war es nicht schwierig, für die Naikon APT ähnlich aussehende E-Mail-Adressen zu registrieren, und die Opfer mit gezielten Phishing-Mails mit Attachments, Links auf Sites, die Malware bereitstellen, und Links auf google drive in die Falle zu locken.
Das Imperium schlägt zurück
Hin und wieder gerät die Naikon-Gruppe mit anderen APT-Gruppen aneinander, die ebenfalls in der Region aktiv sind. Insbesondere konnten wir verfolgen, dass die Naikon-Gruppe durch gezielte Phishing-Mails von einem Bedrohungsakteur geködert wurde, den wir jetzt „Hellsing“ nennen. Mehr zu dem abenteuerlichen Hin und Her zwischen Naikon und Hellsing finden Sie in unserem Blogpost: „ Chronik der Hellsing-APT: Das Imperium schlägt zurück„.