Durante los últimos cinco años, un grupo avanzado de piratas informáticos chinos ha lanzado operaciones de espionaje cibernético contra entidades gubernamentales en la región Asia-Pacífico (APAC) en busca de inteligencia geopolítica, según un nuevo informe de Check Point Research.
Según la evidencia reunida, los investigadores atribuyeron los ataques al grupo APT de Naikon, que desapareció de los radares en 2015 cuando un informe reveló la infraestructura del grupo APT e incluso expuso a uno de los miembros del grupo. Sin embargo, el grupo no se había quedado en silencio, como se sospechaba inicialmente, sino que ha estado atacando a entidades gubernamentales en Australia, Indonesia, Filipinas, Vietnam, Tailandia, Myanmar y Brunei utilizando una nueva puerta trasera sigilosa llamada Aria-body.
Las víctimas incluyen los ministerios de relaciones exteriores, los ministerios de ciencia y tecnología, así como las empresas estatales.
“Dadas las características de las víctimas y las capacidades presentadas por el grupo, es evidente que el propósito del grupo es reunir inteligencia y espiar a los países a los que se ha dirigido el gobierno. Esto incluye no solo localizar y recopilar documentos específicos de computadoras y redes infectadas dentro de los departamentos gubernamentales, sino también extraer datos de unidades extraíbles, tomar capturas de pantalla y registrar claves, y por supuesto recolectar los datos robados para espionaje ”, dijeron los investigadores.
"Y si eso no fuera suficiente, para evadir la detección al acceder a servidores remotos a través de redes gubernamentales sensibles, el grupo comprometió y usó servidores dentro de los ministerios infectados como servidores de comando y control para recopilar, retransmitir y enrutar los datos robados", agregó Check Point .
Los investigadores observaron varias cadenas de infección diferentes que se utilizan para liberar la puerta trasera del cuerpo Aria. Primero se encontraron con la campaña en un correo electrónico, pretendiendo ser enviados desde una embajada del gobierno en la región APAC, enviados al gobierno australiano. El correo electrónico contenía un documento llamado "The Indians Way.doc".
El archivo RTF contenía el constructor de exploits RoyalRoad, un armador RTF compartido principalmente entre los actores de amenazas chinos. El constructor RoyalRoad luego dejó caer un cargador llamado intel.wll en la carpeta de inicio de Word de la PC de destino. Este cargador descargó y ejecutó la carga útil de la siguiente etapa.
Otros métodos de infección observados incluyen:
Archive archivos que contengan un archivo ejecutable legítimo y una DLL maliciosa, para usar en una técnica de secuestro de DLL, aprovechando ejecutables legítimos como Outlook y Avast proxy, para cargar una DLL maliciosa.
Directamente a través de un archivo ejecutable, que sirve como cargador.
Una vez que obtuvo un punto de apoyo inicial, el cargador estableció una conexión con un servidor de comando y control para descargar la carga útil de la puerta trasera del cuerpo Aria de la siguiente etapa.
“Después de obtener el dominio C&C, el cargador lo contacta para descargar la siguiente y última etapa de la cadena de infección. Aunque parezca simple, los atacantes operan el servidor de C&C en una ventana diaria limitada, conectándose en línea solo durante unas pocas horas cada día, lo que dificulta el acceso a las partes avanzadas de la cadena de infección ", anotaron los investigadores.
La puerta trasera Aria-body incorpora una gran cantidad de capacidades, es capaz de crear y eliminar archivos y directorios, tomar capturas de pantalla, buscar archivos, recopilar metadatos de archivos, recopilar información del sistema y la ubicación.
“Si bien el grupo Naikon APT se ha mantenido fuera del radar durante los últimos 5 años, parece que no han estado inactivos. De hecho, todo lo contrario. Al utilizar una nueva infraestructura de servidor, variantes de cargador en constante cambio, carga sin archivos en memoria, así como una nueva puerta trasera, el grupo Naikon APT pudo evitar que los analistas rastrearan su actividad hacia ellos ”, concluyó el equipo de investigación.
https://research.checkpoint.com/2020/naikon-apt-cyber-espionage-reloaded/
