Naikon APT“亚太网络间谍活动”5年未被发现

最近发现，一群先进的中国黑客参与了针对澳大利亚，印度尼西亚，菲律宾，越南，泰国，缅甸和文莱的政府实体的持续网络间谍活动，这项运动至少五年未被发现，并且仍在持续进行中威胁。该组织名为“ Naikon APT”，曾经被称为亚洲最活跃的APT之一，直到2015年，该组织在亚太地区（APAC）进行了一系列网络攻击，以寻找地缘政治情报。最近，Check Point Research发现了新的证据，表明正在进行针对亚太地区（APAC）几个国家政府实体的网络间谍活动。我们可以将这一行动归功于Naikon APT小组，它使用了一个名为Aria-body的新后门，以控制受害者的网络。 2015年，ThreatConnect和防御小组的一份广泛报告揭示了APT小组的基础设施，甚至暴露了该小组的一名成员。自这份报告以来，没有新的证据表明该小组的进一步活动，表明他们要么保持沉默，要么增加对隐形的重视，要么彻底改变其行动方法。也就是说，直到现在。在下面的报告中，我们将描述自上次报告以来，Naikon APT小组在过去5年中一直使用的战术，技术，程序和基础设施，并提供了一些有关如何使它们保持在雷达之下的见解。

指定目标

通过与先前报道的活动进行比较，我们可以得出结论，在过去的十年中，Naikon APT小组一直将目标对准同一地区。在2015年原始报告之后的运营中，我们观察到针对几个国家政府（包括澳大利亚，印度尼西亚，菲律宾，越南，泰国，缅甸和文莱）使用了名为Aria-body的后门。目标政府实体包括外交部，科学技术部以及政府所有的公司。有趣的是，观察到该组织扩大了其在亚太地区各政府中的立足点，方法是从一个已经遭到破坏的政府实体发动攻击，以试图感染另一个。在一个案例中，一个外国使馆在不知不觉中向其所在国政府发送了感染了恶意软件的文档，显示了黑客如何利用受信任的已知联系人，并利用这些联系人渗透到新的组织中并扩展其间谍网络。鉴于受害者的特征和该小组的能力，很明显该小组的目的是收集情报并监视其目标政府所在的国家。这不仅包括从政府部门内受感染的计算机和网络中查找和收集特定文档，还包括从可移动驱动器中提取数据，进行屏幕截图和键盘记录，当然还包括收集被窃取的数据以进行间谍活动。而且，如果这还不足以逃避通过敏感的政府网络访问远程服务器时的侦查，该组织就将受感染的部委内的服务器用作攻击和控制服务器，以收集，中继和路由被盗数据。

感染链

在整个研究过程中，我们目睹了几种不同的感染链被用于传递Aria-body后门。我们的调查始于观察到从亚太地区政府使馆发送给名为的澳大利亚州政府的恶意电子邮件The Indians Way.doc。该RTF文件已被RoyalRoad漏洞利用构建器感染（武器化），并将名为loader intel.wll的文件拖放到目标PC的Word启动文件夹中。加载程序进而尝试从中下载并执行下一阶段的有效负载spool.jtjewifyn[.]com。这不是我们第一次遇到此版本的RoyalRoad恶意软件，该恶意软件会删除名为Vicious Panda APT 的文件名intel.wll，即Vicious Panda APT小组，该小组的活动在2020年3月进行了审查，它使用的变种非常相似。总体而言，在我们的调查中，我们观察到了几种不同的感染方法：

使用RoyalRoad武器化程序的RTF文件。
包含合法可执行文件和恶意DLL的存档文件，将在DLL劫持技术中使用，利用Outlook和Avast代理等合法可执行文件来加载恶意DLL。
直接通过可执行文件作为加载程序。

感染链示例

基础设施

在最近的行动中，攻击者对大多数C＆C服务器使用了相同的托管和DNS服务：作为注册商的GoDaddy和用于托管基础结构的阿里巴巴。在某些情况下，攻击者甚至在多个域中重用了相同的IP地址：

这里提供了整个基础架构的完整视图。为了更清楚地了解攻击者多年来的运作方式，我们根据托管的ASN，根据定期的被动DNS信息绘制了各种恶意域。结果显示在下图中：

观察结果：

几个域被利用了很长时间。
多个域在短时间内跳到了相同的新ASN。
自2019年以来，大多数基础设施都集中在ASN 45102（阿里巴巴）上。
在某些情况下，攻击者会更改同一ASN上的IP地址/服务器（由图中两个连续的偶然ASN表示）。

此外，我们观察到的更有趣的基础架构属性之一是，可能会将被入侵的政府基础架构用作C＆C服务器。在我们分析的一个样本中，outllib.dll（63d64cd53f6da3fd6c5065b2902a0162）中有一个备用C＆C服务器，该服务器配置为202.90.141[.]25– IP，它属于菲律宾科技部。

工具分析

在下一节中，我们将深入研究整个观察到的活动中使用的Aria-body后门的技术分析，以及对之前的loader可执行文件的分析。在感染的早期阶段使用装载程序可以使攻击者在使用其更高级的工具之前，在目标网络上建立持久存在并进行基本侦察。虽然我们观察到Aria-body后门变体最早在2018年进行了编译，但我们观察到Aria-body的装载机可以追溯到2017年。

装载机分析

自2017年以来，Aria-body 装载机的功能并未发生重大变化，但实现因版本而异。该装载机似乎是为Aria车身后门而专门制造的。 总体而言，加载程序负责以下任务：

通过Startup文件夹或Run注册表项（某些变体）建立持久性。
将其自身注入到另一个过程中，例如rundll32.exe和dllhost.exe（某些变体）。
解密两个Blob：“导入表”和加载器配置。
如果需要，请使用DGA算法。
联系嵌入式/计算出的C＆C地址，以检索下一级有效载荷。
解密收到的有效载荷DLL（Aria-body后门）。
加载并执行DLL的导出功能-使用djb2哈希算法计算得出。

加载程序：配置和DGA

加载程序配置经过加密，并包含以下信息：C＆C域，端口，用户代理和域生成算法（DGA）的种子。如果种子不为零，则加载程序将根据种子和通信的日历日使用DGA方法生成其C＆C域。加载程序的配置使用以下算法解密：

def decrypt_buf(buf):
    k = 8
    j = 5
    for i in range(len(buf)):
        xor_byte = (k + j) % 0xff
        buf[i] = buf[i] ^ xor_byte
        j = k
        k = xor_byte

配置解密算法 DGA方法在附录B中有完整描述。

加载程序：C＆C通讯

获取C＆C域后，加载程序会与其联系以下载感染链的下一个也是最后一个阶段。尽管听起来很简单，但是攻击者却每天在有限的窗口中操作C＆C服务器，每天仅在线几个小时，这使得访问感染链的高级部分变得更加困难。

装载机：下一级有效载荷

在加载程序的下一个也是最后一个阶段，使用从C＆C接收的单字节XOR密钥对下载的RAT进行解密。一旦下载并解密了RAT的DLL，该DLL就会加载到内存中。然后，加载程序将对照硬编码的djb2哈希值检查导出的函数，并在匹配时调用它。

房体RAT分析

下载的有效载荷是一个定制的RAT，被称为Aria-body，基于作者提供的名称：aria-body-dllX86.dll。尽管下面的分析是针对32位变种恶意软件的，但我们也观察到了具有相似功能的64位变种。

RAT包括后门相当常见的功能，包括：

创建/删除文件/目录
截屏
搜索文件
使用启动文件 ShellExecute
枚举过程加载的模块
收集文件的元数据
收集TCP和UDP表状态列表
关闭TCP会话
收集操作系统信息
使用验证位置 checkip.amazonaws.com
（可选）基于进程间管道的通信

Aria-body的一些变体还包括其他模块，例如：

USB数据采集模块
键盘记录器模块，用于收集基于原始输入设备的键击–在2018年2月之前添加
反向袜代理模块–在2018年2月之前添加
加载扩展模块– 2019年12月之前添加

后门所有受支持的功能在附录A的表中进行了描述。

独特特征

在下一节中，我们将介绍实现后门程序的一些技术，并重点介绍可以帮助其他研究人员识别此后门程序并将其与其他样本相关联的特征。

初始化

如前所述，后门包含一个导出的函数，先前的加载器在将有效负载加载到内存后会调用该函数。执行后门程序后，它将初始化一个名为的结构MyDerived以及用于HTTP和TCP连接的多个结构。

信息收集

Aria-body首先从受害者计算机上收集数据，包括：主机名，计算机名，用户名，域名，Windows版本，处理器〜MHz，MachineGuid，是否为64bit以及公共IP（使用checkip.amazonaws.com）。

该数据被收集到一个信息结构中，RAT使用一个8字节的随机生成的密码对该zip进行压缩，然后将其与一个字节进行异或。

C＆C沟通

可以通过HTTP或TCP协议与C＆C服务器进行通信。恶意软件通过加载程序的配置中的标志来决定使用哪种协议。收集的数据与XORed密码和XOR密钥一起以以下格式发送到C＆C域：

无论消息是通过TCP还是HTTP发送的，有效载荷格式都是相同的。但是，当选择HTTP时，将使用以下GET请求格式： https://%s:%d/list.html?q=<random string> 向C＆C服务器发出初始请求后，后门将继续侦听来自服务器的其他命令。收到命令后，将其与命令列表进行匹配，并相应执行。附录A中提供了受支持命令的完整列表。

Outlook DLL变体

在我们的研究过程中，我们发现了另一个非常独特的Aria-body变体，它是从菲律宾上传到VirusTotal的。此变体的DLL被命名为outllib.dll，并且是名为的RAR存档的一部分Office.rar。它利用DLL侧加载技术，滥用了旧的Outlook可执行文件。与其他所有版本的Aria-body不同，此变体的不同寻常之处在于，没有加载程序作为感染链的一部分。结果，它没有从加载程序获得任何配置，而是在其中包含了硬编码的配置。有效负载具有两个不同的C＆C域：

blog.toptogear[.]com–通过将加密的字符串与byte异或来获得0x15。
202.90.141[.]25–与菲律宾政府网站关联的IP ，如果无法解析第一个C＆C域，将使用该IP 。

此变体还具有Aria-body的主要变体所不具备的一些额外功能，例如USB显示器模块。另一方面，在主要的Aria-body变体中，此变体缺少按键记录器组件和反向袜子模块。这些证据表明，这是后门的超出范围的变体，是为特定操作量身定制的。此外，我们已经看到Aria-body的主要变体版本是在outlib.dll变体之后的某个时候编译的，并且该变体中的一些字符串可能表明它是此特殊版本的测试变体：

最后，这个版本的咏叹调体包括以下字符串：c:\users\bruce\desktop\20190813\arn\agents\verinfo.h与“ AR在”“ AR N”可能代表“ 氩 IA”。

归因

我们能够对我们的活动属性使用我们在2015年观察到有关卡巴斯基Naikon的活动之前公开的信息的几个相似之处Naikon APT组：1，2。在最初的行动中，Naikon APT小组利用后门攻击了亚太地区的其他政府机构。展望未来，由于在其示例之一中发现了PDB路径，我们会将卡巴斯基分析的后门称为XsFunction： g:\MyProjects\xsFunction\Release\DLL.pdb XsFunction是功能齐全的后门，它支持48种不同的命令。它使攻击者可以完全控制受害计算机，执行文件和进程操作，执行Shell命令以及上载和下载数据以及其他插件。我们能够找到与先前操作的一些相似之处（除了在目标上明显的重叠），以及与XsFunction后门的特定相似之处。

字符串相似度

Aria-body后门具有几个描述恶意软件功能的调试字符串。这些确切的调试字符串中的一些，也可以在XsFunction后门中找到：

在XsFunction中找到的字符串（d085ba82824c1e61e93e113a705b8e9a）

散列函数相似度

无论XsFunction和咏叹调体装载机小号利用相同的哈希算法djb2来找到它导出的函数应该运行。在XsFunction中，该函数的名称为，XS02在Aria-body中为AzManager。

XsFunction加载程序（图片由Kaspersky提供）

代码相似度

Aria-body后门中的某些功能与旧XsFunction后门中使用的功能相同。一个示例是该功能，该功能收集有关PC上已安装软件的信息：

基础设施重叠

我们的四台C＆C服务器与mopo3[.]net域共享IP ，该域解析为与卡巴斯基报告中提到的域相同的IP ：myanmartech.vicp[.]net。

结论

在这次活动中，我们发现了针对亚太地区各种政府实体的长期中国行动的最新迭代。这个特定的活动既利用了RoyalRoad RTF武器生成器之类的常用工具集，又利用了名为Aria-body的特制后门。尽管Naikon APT小组在过去的5年中一直处于监视之下，但看来他们并没有闲着。实际上，恰恰相反。通过利用新的服务器基础架构，不断变化的加载程序变体，内存中无文件加载以及新的后门程序– Naikon APT小组能够阻止分析师将其活动追溯到他们身上。 Check Point SandBlast Agent 可以防御此类APT攻击，并能够从一开始就阻止它们。

附录A：Aria-body –支持的命令

命令ID（从C＆C发送）	子命令ID（从C＆C发送）	描述	命令添加日期
0x1	0x0	收集已安装软件的信息	–
0x2	0x0	获取磁盘信息	–
0x2	0x1	按名称搜索文件	–
0x2	0x2	查找目录	–
0x2	0x4	建立目录	–
0x2	0x6	SHFileOperaion –删除目录	–
0x2	0x7	SHFileOperaion –重命名文件	–
0x2	0x9	删除给定路径中的文件	–
0x2	0xa	ShellExecute“打开”命令	–
0x2	0xb	ShellExecute“打开”命令	–
0x2	0xe	创建新文件并写入其数据	–
0x3	0x0	获取活动过程信息	–
0x3	0x2	终止过程	–
0x3	0x3	获取已加载的模块信息	–
0x4	所有	独特的模块命令：ARN – USB监视器模块	仅在outllib.dll变体中
0x4	所有	独特的模块命令：aria-body –反向袜代理模块	2018年2月–不在outllib.dll中
0x5	0x0	获取文件的MD5	–
0x6	0x0	获取正在运行的窗口的标题	–
0x6	0x1	发送WM_CLOSE消息到给定的窗口名称	–
0x7	0x0	获取TCP和UDP表	–
0x7	0x1	关闭给定的TCP连接	–
0x8	0x0	启动键盘记录器	2018年2月–不在outllib.dll中
0x8	0x1	停止键盘记录	2018年2月–不在outllib.dll中
0X9	0X0	将自身注入rundll32.exe –生成模块	2018年7月–不在outllib.dll中
0X9	0X1	使用UAC将自身注入rundll32.exe	2018年7月–不在outllib.dll中
0X9	0X2	将自身注入除explorer.exe之外的所有进程	2018年7月–不在outllib.dll中
0xa	0x1	收集服务数据	2018年12月–不在outllib.dll中
0xaa	0x1	加载扩展	2018年12月–不在outllib.dll中
0xaa	0x2	给定过程的“ runas”	–
0xaa	0x3	邮编目录	–
0xaa	0x4	创建流程并将其自身注入其中。	–
0xaa	0x5	UAC方法（ntprint.exe中的重复令牌）	–
0xaa	0x6	发送截图	–
0xaa	0x7	发送命令到给定的扩展名	2018年12月–不在outllib.dll中
0xaa	0x9	销毁方式	2018年12月–不在outllib.dll中

附录B: DGA method

def DGA_method(seed_value):
    domain = ""
    tld = [".com", ".org", ".info"]
    ta = time.localtime(time.time())
    temp1 = math_s(ta.tm_year)
    temp2 = math_s(dword(temp1 + ta.tm_mon + 0x11FDA))
    temp3 = math_s(dword(temp2 + ta.tm_mday))
    temp4 = math_s(dword(seed_value + temp3))
    temp5 = math_s(dword(temp4 + 9))
    length = (temp5 % 0xe) + 8
    if length > 0:
        for i in range(length):
            temp6 = math_s(i + temp5)
            domain += chr ( ( temp6 % 0x1a) + 0x61)
            temp5 = math_s(dword(temp6 + 0xcdcdef))
      
    domain += tld[temp6 % 3]
    print(domain)

附录 C: IOC list

Delivery:

MD5	SHA-1	SHA-256
f9d71f32de83f9ecfdc77801a71da7bf	560423901a746055a4890c87dabe2c2a59ee917a	d6841b2a82904efc52c6b0b9375ddd3aa70de360c9f605341631358331a66ba0
08428c94f45fb8ff568a4a288778dfb7	00934d22fb37b2def8276bc22ace5dc950b66227	7df5442e5c334eb81a2f871623fcbed859148223ef2c543d6ffb0e628d02190d
5e37131cbd756e10a9392d2280907592	c0c39b4ffe6fa7ff627654fbdd53a3bf638da4cb	6a8f59ad46ad22f272d5617e8d8101af820772abd5b162e3e9a9cc5dfb2f46ac

Aria-body loaders – 32bit

e9a23e084eb8cf95b70cde3afc94534b	96a918b4e54090c0294470c872c1b2075af1a822	1747fb340794c0c4e746b86c9a77fc568042be9d1dd9d7629b85e110aed34425
8561fa029f2158dc9932deee61febdac	3cecff13388d6ab45797ca2455caf5fd04ca9dd9	fe845ac7525daa5050dc17ca90352afe0f53c04a268832f4b0e93b1d90092175
31a4400789ae43b255464481320baa9e	1e3f303bbb35e709ff9d962c28c071656070aa98	8c38a9f38fd472867479cbaab9c138df616e60e3bb0863eb21531d68470ff302
32b1916abff8bf0e7c51a2584c472451	513d99d714985ab53d75894357e4e87c69374862	a9f0df941172cc4a9c8b242fd41094033e15fa9c5e3781656df3888a4d47f834
c2dc85559686575c268c8e97205b7578	b01d9454d84d04dd7a594dd2f899c77a40248618	fe02467d457e214e82a561de7cfa5e534efdb6beba7c624be2c7d854b68d9f97
b779742b94b9265338c9b21f0cc88ba4	3f7190d530a98e157d799bdbe4fef8e69f1c50de	f31a5d3d586924ea2fe274cc644e3d9501efcc452c150b28f9b1111578ded022
ca3d5f02f453455f2b5522b8dceca658	0289a6db2fdda581b413768cd9318f33b5c005e7	ca2da542ffdbf551a1fa46d073c63162747df7ab45b6c8890077ce783fcbd54e
bd1ef60ee835dd996ddcf4f22adaa142	1d7056e1bec6fadfba8b69d725e4a930bdb6fa40	510d91994c02e92e5354a9cdd51fd2be23583779e07222010a26063bfae2f314
1dd0e12a886f3d1bded6e26f53592720	896e44af5a6f88c7be21d2f7225462f273f067f5	4dcac1b42a0d2308136ce87db28856f1c1888dea0c07f4979f9a3da55268b5a2
07f724bdc662518ce6eac0ca723c929f	1eb758bcb0fc640835962aaa80199bdc867c79e7	45f2dbc7240023308e3193f29cc68320a176714e45dbe2ad7096f6f6445b0e4c
dde75e82b665fc7d47cd870dae2db302	2f17d1f1766b2814d6347763c9ad94863e5bd35c	249ca984c1a508c4adbd58c3e3675bf22c8e364755250bc44a48913dfd6fe540
20cdf05867967642742d6b947ba71284	31cf5cb37d1d6e62add2cd4e59c2821a1a3c54e5	a5a0f9117a49ad7246882c938017a6f603180b37e6c6d134b744fb3fbe57722f
9b0cb194dd5e49ab6fbf490de42e6938	396c0c1dce196e9dc4e65aeb57d2bd1ec5e85ba9	1732639fe36c3ffbe860c09a3b8b92115f31e94e9343cfc346c12048827e9a78
b8292fe24db8f86b11e6bf303c5f3ac5	69ea467bdfe5b7739553da7f93096a3ac944270c	bfdf1c7437189306998cf6b9f1197bd5c77d85ae5595d1d64cb3fc422af1ff7b
357a9f8268438d487303b267b26bde65	722b3dafbc14f8dce1048264451017d3f473f1ac	7b336c7828027d6080617e0a619a0eb048be3c9724a42ad01739e1484383b284
40c49ecbe1b7bd0dbb935138661b6ca4	fe84b53aa8bb4e8ac3d2d9f86d2397d4a3cf5c08	0db51c4a2bd94f2b56f821a013fa42e0e67e3a7b69e2e8834fe36b10a49e2f66
85e5d261c810e13e781f24505bb265ce	6a5a96f5637c898c0792ca9e76fc1854cf960d59	d389780b530557e4076eecfd0b2f92c955c581b23359315acb705cff1c8998f4
77ea1eb5f6fd2605454764cd9b7ef62e	653aae2210a256a00ead6495e2c128d36d2ed531	3d0e3136ed28397eaf4414aaa072ab11a1787ae0973666745add52d2f471b57b
ab260f3dc1ead01dfc6b7139d1eb983c	c2d3d9d7d7b64bbc6e522695105c31d5f1185800	d29692b12f865e5480ae97b507ccec96b32ab6784a4800be6d503ea6a2906bf9
897994f378577ec1e09eaeb953cf603f	799ffe499b1a0d4b58ad9fa7b065b03432b96a09	7463d0f064a31b61ffedd0895ab242700d0d80fc2fa33663da70dcef11451f7d
1f8f70afcd1a29920cb75e403bc590ff	441dfedf0583e799d2b37619316f8d924250d878	741597e84ddd01ada0183d1345fd9e1a611cc284820f9af4557b738250f4f21c
3d0320af4aeffa12660a3d4d8d6a5cf8	9dcf0be40d415c9cd86df39d608046a845b4a9e3	ee345b36a171cad3e0d3d010c0869901582de6a992f36005e67843c9a9ead78b

Aria-body loaders – 64bit

b65e38b86bdd048638e17487a9cce181	6fbd039cbdf2137a64390b80ba473949a3db5965	9033c75777e32c4014914272f78917e3d409c3191a48a47161e1c152520dc204
97f3d2710d7b05fda7e53bda3cdbb3c8	088a603d6d144abb40145b6426acdad4b5813942	481a7868effd2d356f85d9372d1ab5e35e9345e5c1062f7c9562f96152246da4

Aria-body payload

2ce4d68a120d76e703298f27073e1682	a84bde7bd58616e6f20ba106ca6ef138e8cb6904	4cab6bf0b63cea04c4a44af1cf25e214771c4220ed48fff5fca834efa117e5db
a8ee5b59d255a13172ec4704915a048b	48d4fe2ca8e4d71eaa8dead6bae629de47ef77a7	04416f97890a7bbee354e1382b40823dfd74a69a235373be55ebd28ec8035326
e4f097ff8ce8877a6527170af955fc9b	4e76ad95cbfea448cb177c2de9c272141c11b8f4	2b67693cd1ba08b502d02e63550ad438b12b93b355d16eaca3a9a056cc4b0cbd
537b21c71eb8381ed7d150576e3e8a48	be04013156a96ffb50646c5de1b9a1d7de99f0d1	9728197c938baddbd638279f4bd5168c8ace09c5e3441010aa88964f6730e7c6
43798a772bc4c841fc3f0b0aa157c1df	3223e64a1bfb25bc5ea95890ca438232adcc7c35	6e1591f794feca36f5aca5999f367525f58008c27220deedb69d288a2888915c
c4397694368a0bfcb27ee91457878ef1	608f101efc89fbaf3aa7737b248a91c3d7540d9d	7b4adfb5a6779bd0c89c470ed9aeea0e3a352e6d9edffb74a1fe3585544ead3a

Outlib.dll

63d64cd53f6da3fd6c5065b2902a0162

09690a61e5271619910a32efdc91e756d0a6dc1e

f0e40b94e5e4ccbf94c94843dd1eb8db21e36f5ec5d7ef2a9512b026cef082e1

C&C Servers

realteks.gjdredj[.]com

spool.jtjewifyn[.]com

blog.toptogear[.]com

mon-enews[.]com

wdrfjkg129[.]com

n91t78dxr3[.]com

kyawtun119[.]com

www.ajtkgygth[.]com

news.nyhedmgtxck[.]com

dathktdga[.]com

www.rrgwmmwgk[.]com

dns.jmrmfitym[.]com

www.kyemtyjah[.]com

rad.geewkmy[.]com

cpc.mashresearchb[.]com

www.qisxnikm[.]com

dns.seekvibega[.]com

sugano.trictalmk[.]com

bbs.forcejoyt[.]com

0 0 vote

Article Rating

未经允许不得转载：x-sec » Naikon APT“亚太网络间谍活动”5年未被发现