
指定目标
通过与先前报道的活动进行比较,我们可以得出结论,在过去的十年中,Naikon APT小组一直将目标对准同一地区。在2015年原始报告之后的运营中,我们观察到针对几个国家政府(包括澳大利亚,印度尼西亚,菲律宾,越南,泰国,缅甸和文莱)使用了名为Aria-body的后门。 目标政府实体包括外交部,科学技术部以及政府所有的公司。有趣的是,观察到该组织扩大了其在亚太地区各政府中的立足点,方法是从一个已经遭到破坏的政府实体发动攻击,以试图感染另一个。在一个案例中,一个外国使馆在不知不觉中向其所在国政府发送了感染了恶意软件的文档,显示了黑客如何利用受信任的已知联系人,并利用这些联系人渗透到新的组织中并扩展其间谍网络。 鉴于受害者的特征和该小组的能力,很明显该小组的目的是收集情报并监视其目标政府所在的国家。这不仅包括从政府部门内受感染的计算机和网络中查找和收集特定文档,还包括从可移动驱动器中提取数据,进行屏幕截图和键盘记录,当然还包括收集被窃取的数据以进行间谍活动。而且,如果这还不足以逃避通过敏感的政府网络访问远程服务器时的侦查,该组织就将受感染的部委内的服务器用作攻击和控制服务器,以收集,中继和路由被盗数据。
感染链
在整个研究过程中,我们目睹了几种不同的感染链被用于传递Aria-body后门。我们的调查始于观察到从亚太地区政府使馆发送给名为的澳大利亚州政府的恶意电子邮件The Indians Way.doc
。该RTF文件已被RoyalRoad漏洞利用构建器感染(武器化),并将名为loader intel.wll
的文件拖放到目标PC的Word启动文件夹中。加载程序进而尝试从中下载并执行下一阶段的有效负载spool.jtjewifyn[.]com
。
这不是我们第一次遇到此版本的RoyalRoad恶意软件,该恶意软件会删除名为Vicious Panda APT 的文件名intel.wll
,即Vicious Panda APT小组,该小组的活动在2020年3月进行了审查,它使用的变种非常相似。
总体而言,在我们的调查中,我们观察到了几种不同的感染方法:
- 使用RoyalRoad武器化程序的RTF文件。
- 包含合法可执行文件和恶意DLL的存档文件,将在DLL劫持技术中使用,利用Outlook和Avast代理等合法可执行文件来加载恶意DLL。
- 直接通过可执行文件作为加载程序。
感染链示例

基础设施
在最近的行动中,攻击者对大多数C&C服务器使用了相同的托管和DNS服务:作为注册商的GoDaddy和用于托管基础结构的阿里巴巴。在某些情况下,攻击者甚至在多个域中重用了相同的IP地址:

- 几个域被利用了很长时间。
- 多个域在短时间内跳到了相同的新ASN。
- 自2019年以来,大多数基础设施都集中在ASN 45102(阿里巴巴)上。
- 在某些情况下,攻击者会更改同一ASN上的IP地址/服务器(由图中两个连续的偶然ASN表示)。
outllib.dll
(63d64cd53f6da3fd6c5065b2902a0162
)中有一个备用C&C服务器,该服务器配置为202.90.141[.]25
– IP,它属于菲律宾科技部。
工具分析
在下一节中,我们将深入研究整个观察到的活动中使用的Aria-body后门的技术分析,以及对之前的loader可执行文件的分析。 在感染的早期阶段使用装载程序可以使攻击者在使用其更高级的工具之前,在目标网络上建立持久存在并进行基本侦察。虽然我们观察到Aria-body后门变体最早在2018年进行了编译,但我们观察到Aria-body的装载机可以追溯到2017年。装载机分析
自2017年以来,Aria-body 装载机的功能并未发生重大变化,但实现因版本而异。该装载机似乎是为Aria车身后门而专门制造的。 总体而言,加载程序负责以下任务:- 通过
Startup
文件夹或Run
注册表项(某些变体)建立持久性。 - 将其自身注入到另一个过程中,例如
rundll32.exe
和dllhost.exe
(某些变体)。 - 解密两个Blob:“导入表”和加载器配置。
- 如果需要,请使用DGA算法。
- 联系嵌入式/计算出的C&C地址,以检索下一级有效载荷。
- 解密收到的有效载荷DLL(Aria-body后门)。
- 加载并执行DLL的导出功能-使用
djb2
哈希算法计算得出。

加载程序:配置和DGA
加载程序配置经过加密,并包含以下信息:C&C域,端口,用户代理和域生成算法(DGA)的种子。如果种子不为零,则加载程序将根据种子和通信的日历日使用DGA方法生成其C&C域。加载程序的配置使用以下算法解密:def decrypt_buf(buf):
k = 8
j = 5
for i in range(len(buf)):
xor_byte = (k + j) % 0xff
buf[i] = buf[i] ^ xor_byte
j = k
k = xor_byte
配置解密算法
DGA方法在附录B中有完整描述。
加载程序:C&C通讯
获取C&C域后,加载程序会与其联系以下载感染链的下一个也是最后一个阶段。尽管听起来很简单,但是攻击者却每天在有限的窗口中操作C&C服务器,每天仅在线几个小时,这使得访问感染链的高级部分变得更加困难。装载机:下一级有效载荷
在加载程序的下一个也是最后一个阶段,使用从C&C接收的单字节XOR密钥对下载的RAT进行解密。一旦下载并解密了RAT的DLL,该DLL就会加载到内存中。然后,加载程序将对照硬编码的djb2
哈希值检查导出的函数,并在匹配时调用它。
房体RAT分析
下载的有效载荷是一个定制的RAT,被称为Aria-body,基于作者提供的名称:aria-body-dllX86.dll
。
尽管下面的分析是针对32位变种恶意软件的,但我们也观察到了具有相似功能的64位变种。

- 创建/删除文件/目录
- 截屏
- 搜索文件
- 使用启动文件
ShellExecute
- 枚举过程加载的模块
- 收集文件的元数据
- 收集TCP和UDP表状态列表
- 关闭TCP会话
- 收集操作系统信息
- 使用验证位置
checkip.amazonaws.com
- (可选)基于进程间管道的通信
- USB数据采集模块
- 键盘记录器模块,用于收集基于原始输入设备的键击–在2018年2月之前添加
- 反向袜代理模块–在2018年2月之前添加
- 加载扩展模块– 2019年12月之前添加
独特特征
在下一节中,我们将介绍实现后门程序的一些技术,并重点介绍可以帮助其他研究人员识别此后门程序并将其与其他样本相关联的特征。初始化
如前所述,后门包含一个导出的函数,先前的加载器在将有效负载加载到内存后会调用该函数。执行后门程序后,它将初始化一个名为的结构MyDerived
以及用于HTTP和TCP连接的多个结构。
信息收集
Aria-body首先从受害者计算机上收集数据,包括: 主机名,计算机名,用户名,域名,Windows版本,处理器〜MHz,MachineGuid,是否为64bit以及公共IP(使用checkip.amazonaws.com
)。

C&C沟通
可以通过HTTP或TCP协议与C&C服务器进行通信。恶意软件通过加载程序的配置中的标志来决定使用哪种协议。收集的数据与XORed密码和XOR密钥一起以以下格式发送到C&C域:
https://%s:%d/list.html?q=<random string>
向C&C服务器发出初始请求后,后门将继续侦听来自服务器的其他命令。收到命令后,将其与命令列表进行匹配,并相应执行。附录A中提供了受支持命令的完整列表。
Outlook DLL变体
在我们的研究过程中,我们发现了另一个非常独特的Aria-body变体,它是从菲律宾上传到VirusTotal的。此变体的DLL被命名为outllib.dll
,并且是名为的RAR存档的一部分Office.rar
。它利用DLL侧加载技术,滥用了旧的Outlook可执行文件。
与其他所有版本的Aria-body不同,此变体的不同寻常之处在于,没有加载程序作为感染链的一部分。结果,它没有从加载程序获得任何配置,而是在其中包含了硬编码的配置。
有效负载具有两个不同的C&C域:
blog.toptogear[.]com
–通过将加密的字符串与byte异或来获得0x15
。202.90.141[.]25
–与菲律宾政府网站关联的IP ,如果无法解析第一个C&C域,将使用该IP 。

outlib.dll
变体之后的某个时候编译的,并且该变体中的一些字符串可能表明它是此特殊版本的测试变体:

c:\users\bruce\desktop\20190813\arn\agents\verinfo.h
与“ AR在”“ AR N”可能代表“ 氩 IA”。
归因
我们能够对我们的活动属性使用我们在2015年观察到有关卡巴斯基Naikon的活动之前公开的信息的几个相似之处Naikon APT组:1,2。在最初的行动中,Naikon APT小组利用后门攻击了亚太地区的其他政府机构。 展望未来,由于在其示例之一中发现了PDB路径,我们会将卡巴斯基分析的后门称为XsFunction:g:\MyProjects\xsFunction\Release\DLL.pdb
XsFunction是功能齐全的后门,它支持48种不同的命令。它使攻击者可以完全控制受害计算机,执行文件和进程操作,执行Shell命令以及上载和下载数据以及其他插件。
我们能够找到与先前操作的一些相似之处(除了在目标上明显的重叠),以及与XsFunction后门的特定相似之处。
字符串相似度
Aria-body后门具有几个描述恶意软件功能的调试字符串。 这些确切的调试字符串中的一些,也可以在XsFunction后门中找到:

散列函数相似度
无论XsFunction和咏叹调体装载机小号利用相同的哈希算法djb2
来找到它导出的函数应该运行。在XsFunction中,该函数的名称为,XS02
在Aria-body中为AzManager
。


代码相似度
Aria-body后门中的某些功能与旧XsFunction后门中使用的功能相同。一个示例是该功能,该功能收集有关PC上已安装软件的信息:
基础设施重叠
我们的四台C&C服务器与mopo3[.]net
域共享IP ,该域解析为与卡巴斯基报告中提到的域相同的IP :myanmartech.vicp[.]net
。

结论
在这次活动中,我们发现了针对亚太地区各种政府实体的长期中国行动的最新迭代。这个特定的活动既利用了RoyalRoad RTF武器生成器之类的常用工具集,又利用了名为Aria-body的特制后门。 尽管Naikon APT小组在过去的5年中一直处于监视之下,但看来他们并没有闲着。实际上,恰恰相反。通过利用新的服务器基础架构,不断变化的加载程序变体,内存中无文件加载以及新的后门程序– Naikon APT小组能够阻止分析师将其活动追溯到他们身上。 Check Point SandBlast Agent 可以防御此类APT攻击,并能够从一开始就阻止它们。附录A:Aria-body –支持的命令
命令ID(从C&C发送) | 子命令ID(从C&C发送) | 描述 | 命令添加日期 |
0x1 | 0x0 | 收集已安装软件的信息 | – |
0x2 | 0x0 | 获取磁盘信息 | – |
0x2 | 0x1 | 按名称搜索文件 | – |
0x2 | 0x2 | 查找目录 | – |
0x2 | 0x4 | 建立目录 | – |
0x2 | 0x6 | SHFileOperaion –删除目录 | – |
0x2 | 0x7 | SHFileOperaion –重命名文件 | – |
0x2 | 0x9 | 删除给定路径中的文件 | – |
0x2 | 0xa | ShellExecute“打开”命令 | – |
0x2 | 0xb | ShellExecute“打开”命令 | – |
0x2 | 0xe | 创建新文件并写入其数据 | – |
0x3 | 0x0 | 获取活动过程信息 | – |
0x3 | 0x2 | 终止过程 | – |
0x3 | 0x3 | 获取已加载的模块信息 | – |
0x4 | 所有 | 独特的模块命令:ARN – USB监视器模块 | 仅在outllib.dll变体中 |
0x4 | 所有 | 独特的模块命令:aria-body –反向袜代理模块 | 2018年2月–不在outllib.dll中 |
0x5 | 0x0 | 获取文件的MD5 | – |
0x6 | 0x0 | 获取正在运行的窗口的标题 | – |
0x6 | 0x1 | 发送WM_CLOSE消息到给定的窗口名称 | – |
0x7 | 0x0 | 获取TCP和UDP表 | – |
0x7 | 0x1 | 关闭给定的TCP连接 | – |
0x8 | 0x0 | 启动键盘记录器 | 2018年2月–不在outllib.dll中 |
0x8 | 0x1 | 停止键盘记录 | 2018年2月–不在outllib.dll中 |
0X9 | 0X0 | 将自身注入rundll32.exe –生成模块 | 2018年7月–不在outllib.dll中 |
0X9 | 0X1 | 使用UAC将自身注入rundll32.exe | 2018年7月–不在outllib.dll中 |
0X9 | 0X2 | 将自身注入除explorer.exe之外的所有进程 | 2018年7月–不在outllib.dll中 |
0xa | 0x1 | 收集服务数据 | 2018年12月–不在outllib.dll中 |
0xaa | 0x1 | 加载扩展 | 2018年12月–不在outllib.dll中 |
0xaa | 0x2 | 给定过程的“ runas” | – |
0xaa | 0x3 | 邮编目录 | – |
0xaa | 0x4 | 创建流程并将其自身注入其中。 | – |
0xaa | 0x5 | UAC方法(ntprint.exe中的重复令牌) | – |
0xaa | 0x6 | 发送截图 | – |
0xaa | 0x7 | 发送命令到给定的扩展名 | 2018年12月–不在outllib.dll中 |
0xaa | 0x9 | 销毁方式 | 2018年12月–不在outllib.dll中 |
附录B: DGA method
def DGA_method(seed_value):
domain = ""
tld = [".com", ".org", ".info"]
ta = time.localtime(time.time())
temp1 = math_s(ta.tm_year)
temp2 = math_s(dword(temp1 + ta.tm_mon + 0x11FDA))
temp3 = math_s(dword(temp2 + ta.tm_mday))
temp4 = math_s(dword(seed_value + temp3))
temp5 = math_s(dword(temp4 + 9))
length = (temp5 % 0xe) + 8
if length > 0:
for i in range(length):
temp6 = math_s(i + temp5)
domain += chr ( ( temp6 % 0x1a) + 0x61)
temp5 = math_s(dword(temp6 + 0xcdcdef))
domain += tld[temp6 % 3]
print(domain)
附录 C: IOC list
Delivery:MD5 | SHA-1 | SHA-256 |
---|---|---|
f9d71f32de83f9ecfdc77801a71da7bf | 560423901a746055a4890c87dabe2c2a59ee917a | d6841b2a82904efc52c6b0b9375ddd3aa70de360c9f605341631358331a66ba0 |
08428c94f45fb8ff568a4a288778dfb7 | 00934d22fb37b2def8276bc22ace5dc950b66227 | 7df5442e5c334eb81a2f871623fcbed859148223ef2c543d6ffb0e628d02190d |
5e37131cbd756e10a9392d2280907592 | c0c39b4ffe6fa7ff627654fbdd53a3bf638da4cb | 6a8f59ad46ad22f272d5617e8d8101af820772abd5b162e3e9a9cc5dfb2f46ac |
e9a23e084eb8cf95b70cde3afc94534b | 96a918b4e54090c0294470c872c1b2075af1a822 | 1747fb340794c0c4e746b86c9a77fc568042be9d1dd9d7629b85e110aed34425 |
8561fa029f2158dc9932deee61febdac | 3cecff13388d6ab45797ca2455caf5fd04ca9dd9 | fe845ac7525daa5050dc17ca90352afe0f53c04a268832f4b0e93b1d90092175 |
31a4400789ae43b255464481320baa9e | 1e3f303bbb35e709ff9d962c28c071656070aa98 | 8c38a9f38fd472867479cbaab9c138df616e60e3bb0863eb21531d68470ff302 |
32b1916abff8bf0e7c51a2584c472451 | 513d99d714985ab53d75894357e4e87c69374862 | a9f0df941172cc4a9c8b242fd41094033e15fa9c5e3781656df3888a4d47f834 |
c2dc85559686575c268c8e97205b7578 | b01d9454d84d04dd7a594dd2f899c77a40248618 | fe02467d457e214e82a561de7cfa5e534efdb6beba7c624be2c7d854b68d9f97 |
b779742b94b9265338c9b21f0cc88ba4 | 3f7190d530a98e157d799bdbe4fef8e69f1c50de | f31a5d3d586924ea2fe274cc644e3d9501efcc452c150b28f9b1111578ded022 |
ca3d5f02f453455f2b5522b8dceca658 | 0289a6db2fdda581b413768cd9318f33b5c005e7 | ca2da542ffdbf551a1fa46d073c63162747df7ab45b6c8890077ce783fcbd54e |
bd1ef60ee835dd996ddcf4f22adaa142 | 1d7056e1bec6fadfba8b69d725e4a930bdb6fa40 | 510d91994c02e92e5354a9cdd51fd2be23583779e07222010a26063bfae2f314 |
1dd0e12a886f3d1bded6e26f53592720 | 896e44af5a6f88c7be21d2f7225462f273f067f5 | 4dcac1b42a0d2308136ce87db28856f1c1888dea0c07f4979f9a3da55268b5a2 |
07f724bdc662518ce6eac0ca723c929f | 1eb758bcb0fc640835962aaa80199bdc867c79e7 | 45f2dbc7240023308e3193f29cc68320a176714e45dbe2ad7096f6f6445b0e4c |
dde75e82b665fc7d47cd870dae2db302 | 2f17d1f1766b2814d6347763c9ad94863e5bd35c | 249ca984c1a508c4adbd58c3e3675bf22c8e364755250bc44a48913dfd6fe540 |
20cdf05867967642742d6b947ba71284 | 31cf5cb37d1d6e62add2cd4e59c2821a1a3c54e5 | a5a0f9117a49ad7246882c938017a6f603180b37e6c6d134b744fb3fbe57722f |
9b0cb194dd5e49ab6fbf490de42e6938 | 396c0c1dce196e9dc4e65aeb57d2bd1ec5e85ba9 | 1732639fe36c3ffbe860c09a3b8b92115f31e94e9343cfc346c12048827e9a78 |
b8292fe24db8f86b11e6bf303c5f3ac5 | 69ea467bdfe5b7739553da7f93096a3ac944270c | bfdf1c7437189306998cf6b9f1197bd5c77d85ae5595d1d64cb3fc422af1ff7b |
357a9f8268438d487303b267b26bde65 | 722b3dafbc14f8dce1048264451017d3f473f1ac | 7b336c7828027d6080617e0a619a0eb048be3c9724a42ad01739e1484383b284 |
40c49ecbe1b7bd0dbb935138661b6ca4 | fe84b53aa8bb4e8ac3d2d9f86d2397d4a3cf5c08 | 0db51c4a2bd94f2b56f821a013fa42e0e67e3a7b69e2e8834fe36b10a49e2f66 |
85e5d261c810e13e781f24505bb265ce | 6a5a96f5637c898c0792ca9e76fc1854cf960d59 | d389780b530557e4076eecfd0b2f92c955c581b23359315acb705cff1c8998f4 |
77ea1eb5f6fd2605454764cd9b7ef62e | 653aae2210a256a00ead6495e2c128d36d2ed531 | 3d0e3136ed28397eaf4414aaa072ab11a1787ae0973666745add52d2f471b57b |
ab260f3dc1ead01dfc6b7139d1eb983c | c2d3d9d7d7b64bbc6e522695105c31d5f1185800 | d29692b12f865e5480ae97b507ccec96b32ab6784a4800be6d503ea6a2906bf9 |
897994f378577ec1e09eaeb953cf603f | 799ffe499b1a0d4b58ad9fa7b065b03432b96a09 | 7463d0f064a31b61ffedd0895ab242700d0d80fc2fa33663da70dcef11451f7d |
1f8f70afcd1a29920cb75e403bc590ff | 441dfedf0583e799d2b37619316f8d924250d878 | 741597e84ddd01ada0183d1345fd9e1a611cc284820f9af4557b738250f4f21c |
3d0320af4aeffa12660a3d4d8d6a5cf8 | 9dcf0be40d415c9cd86df39d608046a845b4a9e3 | ee345b36a171cad3e0d3d010c0869901582de6a992f36005e67843c9a9ead78b |
b65e38b86bdd048638e17487a9cce181 | 6fbd039cbdf2137a64390b80ba473949a3db5965 | 9033c75777e32c4014914272f78917e3d409c3191a48a47161e1c152520dc204 |
97f3d2710d7b05fda7e53bda3cdbb3c8 | 088a603d6d144abb40145b6426acdad4b5813942 | 481a7868effd2d356f85d9372d1ab5e35e9345e5c1062f7c9562f96152246da4 |
2ce4d68a120d76e703298f27073e1682 | a84bde7bd58616e6f20ba106ca6ef138e8cb6904 | 4cab6bf0b63cea04c4a44af1cf25e214771c4220ed48fff5fca834efa117e5db |
a8ee5b59d255a13172ec4704915a048b | 48d4fe2ca8e4d71eaa8dead6bae629de47ef77a7 | 04416f97890a7bbee354e1382b40823dfd74a69a235373be55ebd28ec8035326 |
e4f097ff8ce8877a6527170af955fc9b | 4e76ad95cbfea448cb177c2de9c272141c11b8f4 | 2b67693cd1ba08b502d02e63550ad438b12b93b355d16eaca3a9a056cc4b0cbd |
537b21c71eb8381ed7d150576e3e8a48 | be04013156a96ffb50646c5de1b9a1d7de99f0d1 | 9728197c938baddbd638279f4bd5168c8ace09c5e3441010aa88964f6730e7c6 |
43798a772bc4c841fc3f0b0aa157c1df | 3223e64a1bfb25bc5ea95890ca438232adcc7c35 | 6e1591f794feca36f5aca5999f367525f58008c27220deedb69d288a2888915c |
c4397694368a0bfcb27ee91457878ef1 | 608f101efc89fbaf3aa7737b248a91c3d7540d9d | 7b4adfb5a6779bd0c89c470ed9aeea0e3a352e6d9edffb74a1fe3585544ead3a |
63d64cd53f6da3fd6c5065b2902a0162 | 09690a61e5271619910a32efdc91e756d0a6dc1e | f0e40b94e5e4ccbf94c94843dd1eb8db21e36f5ec5d7ef2a9512b026cef082e1 |
realteks.gjdredj[.]com |
spool.jtjewifyn[.]com |
blog.toptogear[.]com |
mon-enews[.]com |
wdrfjkg129[.]com |
n91t78dxr3[.]com |
kyawtun119[.]com |
www.ajtkgygth[.]com |
news.nyhedmgtxck[.]com |
dathktdga[.]com |
www.rrgwmmwgk[.]com |
dns.jmrmfitym[.]com |
www.kyemtyjah[.]com |
rad.geewkmy[.]com |
cpc.mashresearchb[.]com |
www.qisxnikm[.]com |
dns.seekvibega[.]com |
sugano.trictalmk[.]com |
bbs.forcejoyt[.]com |
未经允许不得转载:x-sec » Naikon APT“亚太网络间谍活动”5年未被发现