Esta campaña de ciberespionaje de Asia-Pacífico pasó desapercibida durante 5 años

Campaña de espionaje cibernético de Asia-Pacífico

Recientemente, se detectó que un grupo avanzado de piratas informáticos chinos está detrás de una campaña sostenida de ciberespionaje dirigida a entidades gubernamentales en Australia, Indonesia, Filipinas, Vietnam, Tailandia, Myanmar y Brunei, que pasó desapercibida durante al menos cinco años y aún continúa. amenaza.

El grupo, llamado ‘Naikon APT’, una vez conocido como uno de los APT más activos en Asia hasta 2015, llevó a cabo una serie de ataques cibernéticos en la región de Asia-Pacífico (APAC) en busca de inteligencia geopolítica.

Según el último informe de investigación que los investigadores de Check Point compartieron con The Hacker News, el grupo Naikon APT no se había quedado en silencio durante los últimos 5 años, como se sospechaba inicialmente; en cambio, estaba usando una nueva puerta trasera, llamada «Aria-cuerpo«para operar sigilosamente.

“Dadas las características de las víctimas y las capacidades presentadas por el grupo, es evidente que el propósito del grupo es reunir inteligencia y espiar a los países cuyos gobiernos ha atacado”, dijeron los investigadores.

La puerta trasera tiene un doble propósito en el sentido de que el actor de la amenaza, además de usarla para tomar el control de las redes internas de las organizaciones objetivo, también está organizando ataques desde una empresa ya violada para infectar a otra.

«Esto incluye no solo ubicar y recopilar documentos específicos de computadoras y redes infectadas dentro de los departamentos gubernamentales, sino también extraer unidades de datos extraíbles, tomar capturas de pantalla y registro de teclas y, por supuesto, recolectar los datos robados para el espionaje».

Una campaña de inteligencia geopolítica

Documentado por primera vez en 2015, el grupo Naikon APT utiliza señuelos de correo electrónico elaborados como un vector de ataque inicial contra agencias gubernamentales de alto nivel y organizaciones civiles y militares que, cuando se abrieron, instalaron software espía que filtraba documentos confidenciales a comando y control remoto (C2 ) servidores.

Aunque no se han reportado nuevos signos de actividad desde entonces, la última investigación de Check Point arroja una nueva luz sobre sus operaciones.

«Naikon intentó atacar a uno de nuestros clientes haciéndose pasar por un gobierno extranjero; fue entonces cuando volvieron a nuestro radar después de una ausencia de cinco años, y decidimos investigar más a fondo», dijo Lotem Finkelsteen, gerente de inteligencia de amenazas en Check Point. .

No solo se emplearon múltiples cadenas de infección para entregar la puerta trasera del cuerpo de Aria, sino que los correos electrónicos maliciosos también contenían un archivo RTF (llamado «The Indians Way.doc») que estaba infectado con un generador de exploits llamado RoyalBlood, que dejó caer un cargador (intel .wll) en la carpeta de inicio de Microsoft Word del sistema («% APPDATA% Microsoft Word STARTUP»).

RoyalBlood es un arma RTF compartida principalmente entre los actores de amenazas chinos. Vale la pena señalar que un modus operandi similar se ha relacionado con una campaña contra las agencias gubernamentales de Mongolia, llamada Vicious Panda, que se descubrió explotando el brote de coronavirus en curso para plantar malware a través de trucos de ingeniería social.

En un mecanismo de infección separado, los archivos comprimidos se empaquetaron con un ejecutable legítimo (como Outlook y Avast Proxy) y una biblioteca maliciosa para colocar el cargador en el sistema de destino.

Independientemente del método para obtener un punto de apoyo inicial, el cargador luego estableció una conexión con un servidor C2 para descargar la carga útil de la puerta trasera del cuerpo Aria de la siguiente etapa.

«Después de obtener el dominio C&C, el cargador lo contacta para descargar la siguiente y última etapa de la cadena de infección», señalaron los investigadores. «Aunque suena simple, los atacantes operan el servidor C&C en una ventana diaria limitada, conectándose en línea solo unas pocas horas cada día, lo que dificulta el acceso a las partes avanzadas de la cadena de infección».

La RAT de Aria-body, llamada así por el nombre «aria-body-dllX86.dll» dado por los autores del malware, tiene todas las funciones que esperaría de una puerta trasera típica: crear y eliminar archivos y directorios, tomar capturas de pantalla, buscar archivos, recopilar metadatos de archivos, recopilar información del sistema y la ubicación, entre otros.

Algunas variaciones recientes de Aria-body también vienen equipadas con capacidades para capturar pulsaciones de teclas e incluso cargar otras extensiones, según los investigadores, lo que sugiere que la puerta trasera está en desarrollo activo.

Además de filtrar todos los datos recopilados al servidor C2, la puerta trasera escucha cualquier comando adicional que se ejecute.

Un análisis más detallado de la infraestructura C2 encontró que se usaron varios dominios durante largos períodos de tiempo, con la misma dirección IP reutilizada con más de un dominio.

Llevando sus tácticas de evasión al siguiente nivel, el adversario comprometió y usó servidores dentro de los ministerios infectados como servidores C2 para lanzar ataques y retransmitir y enrutar los datos robados, en lugar de arriesgarse a ser detectado al acceder a los servidores remotos.

Vínculos con Naikon APT

Check Point dijo que atribuyó la campaña a Naikon APT basándose en similitudes de código en Aria-body y la herramienta de espionaje detallada por Kaspersky (llamada «XSControl») en 2015, así como en el uso de dominios C2 (mopo3[.]net) que se resuelven con la misma dirección IP que los dominios mencionados por este último (myanmartech.vicp[.]neto).

Campaña de espionaje cibernético de Asia-Pacífico

«Si bien el grupo Naikon APT se ha mantenido bajo el radar durante los últimos 5 años, parece que no han estado inactivos», concluyó Check Point. «De hecho, todo lo contrario. Al utilizar una nueva infraestructura de servidor, variantes de cargador en constante cambio, carga sin archivos en memoria, así como una nueva puerta trasera, el grupo Naikon APT pudo evitar que los analistas rastrearan su actividad hasta ellos. «

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática