CheckPoint Research đã phát hiện ra những bằng chứng mới về một hoạt động gián điệp không gian mạng nhắm vào một số thực thể chính phủ quốc gia ở khu vực Châu Á Thái Bình Dương (APAC). Hoạt động này, được cho là thực hiện bởi nhóm Naikon APT, đã sử dụng một backdoor mới có tên là Aria-body, để kiểm soát hệ thống mạng của các nạn nhân.
Báo cáo gần nhất về hoạt động của nhóm APT này là từ năm 2015, thực hiện bởi ThreatConnect và Defense Group, đã tiết lộ cơ sở hạ tầng và thậm chí là một trong những thành viên của nhóm tại thời điểm đó.
Chúng tôi tổng hợp và dịch lại bài viết của CheckPoint Research
- Đối tượng tấn công
Bằng cách so sánh với các báo cáo trước đây, CheckPoint kết luận rằng đối tượng tấn công của Naikon APT là không thay đổi trong suốt thời gian hoạt động của nhóm. Đó là các thực thể thuộc hệ thống chính phủ của các quốc gia, bao gồm Úc, Indonesia, Philippines, Việt Nam, Thái Lan, Myanmar và Brunei.
Các thực thể bị nhắm đến này bao gồm Bộ Ngoại giao, Bộ Khoa học và Công nghệ, cũng như các công ty thuộc sở hữu của chính phủ. Một hoạt động tấn công mới được quan sát thấy trong chiến dịch lần này là nhóm đã sử dụng một thực thể đã bị xâm nhập thuộc một hệ thống chính phủ để tấn công và lây nhiễm một hệ thống chính phủ khác. Một ví dụ là một đại sứ quán nước ngoài đã vô tình gửi các tài liệu bị nhiễm mã độc cho chính phủ nước sở tại, cho thấy cách các tin tặc khai thác các mối liên hệ tin cậy và sử dụng chúng để xâm nhập vào các tổ chức mới và mở rộng mạng lưới gián điệp của chúng.
Dựa trên đặc điểm của các nạn nhân, có thể thấy rõ ràng mục đích của nhóm là nhằm thu thập thông tin tình báo và gián điệp của các quốc gia mà nhóm nhắm tới. Điều này bao gồm không chỉ định vị và thu thập các tài liệu cụ thể từ các máy tính và hệ thống mạng bị lây nhiễm trong các cơ quan chính phủ, mà còn trích xuất dữ liệu từ các ổ đĩa di động, chụp ảnh màn hình và keylogging. Ngoài ra, để tránh bị phát hiện khi truy cập từ xa đến các máy chủ thuộc các hệ thống mạng chính phủ nhạy cảm, nhóm đã xâm nhập và sử dụng chính các máy chủ ở các Bộ này làm máy chủ chỉ huy và điều khiển (Command and Control – C&C) để thu thập, chuyển tiếp và định tuyến dữ liệu bị đánh cắp.
- Quá trình xâm nhập (Infection chains)
Trong quá trình nghiên cứu, CheckPoint đã quan sát được một số Infection chains được sử dụng để vận chuyển backdoor Aria-body. Quá trình điều tra bắt đầu khi CheckPoint quan sát thấy một email độc hại được gửi từ một đại sứ quán thuộc APAC đến hệ thống chính phủ của một bang ở Úc, có tên The Indians Way.doc. File RTF này, đã bị cấy trình xây dựng khai thác RoyalRoad, sẽ thả một loader có tên intel.wll vào thư mục Startup của Word trên máy tính mục tiêu. Loader này sẽ cố gắng tải xuống và khởi chạy payload từ spool.jtjewifyn[.]com.
Phiên bản mã độc RoyalRoad với loader intel.wll này cũng được bắt gặp trong các hoạt động của nhóm APT Vicious Panda vào tháng 3 năm nay.
Nhìn chung, qua quá trình điều tra, tổng hợp các phương pháp xâm nhập và lây nhiễm bao gồm:
- Một file RTF sử dụng mã độc RoyalRoad.
- Các file nén có chứa một file thực thi hợp pháp và một DLL độc hại, được sử dụng trong kỹ thuật DLL Hijacking, lợi dụng các file thực thi hợp pháp như Outlook và Avast proxy, để tải DLL độc hại.
- Xâm nhập trực tiếp thông qua một file thực thi, phục vụ như một loader.
- Cơ sở hạ tầng
Thông tin đầy đủ về cơ sở hạ tầng có thể xem tại đây
Mối tương quan giữa các domains và ASNs
- · Một số tên miền đã được sử dụng trong một thời gian rất dài.
- · Nhiều tên miền đã chuyển sang cùng một ASN mới trong một khoảng thời gian ngắn.
- · Kể từ năm 2019, hầu hết các cơ sở hạ tầng đã tập trung vào ASN 45102 (Alibaba).
- · Trong một số trường hợp, những kẻ tấn công sẽ thay đổi địa chỉ IP/máy chủ, trên cùng một ASN.
Ngoài ra, một đặc điểm đáng chú ý là khả năng sử dụng cơ sở hạ tầng của chính phủ bị hack làm máy chủ C&C. Trong một trong các mẫu mà CheckPoint đã phân tích, outllib.dll (63d64cd53f6da3fd6c5065b2902a0162), có một máy chủ C&C dự phòng được cấu hình là 202.90.141[.]25 – một IP thuộc Bộ Khoa học và Công nghệ Philippines.
- Phân tích công cụ tấn công (Tool Analysis)
4.1 Phân tích Loader
Chức năng của Aria-body loader không có thay đổi đáng kể nào từ năm 2017, nhưng việc triển khai có thay đổi với từng phiên bản khác nhau. Loader này được tạo ra để sử dụng riêng cho Aria-body backdoor.
Loader chịu trách nhiệm cho các tác vụ sau:
- Thiết lập tính bền vững thông qua thư mục Startup hoặc registry key Run (có một số biến thể).
- Lây nhiễm chính nó vào một quá trình khác như rundll32.exe và dllhost.exe (một số biến thể).
- Giải mã hai blobs: Import Table và cấu hình loader.
- Sử dụng thuật toán DGA nếu được yêu cầu.
- Liên lạc với địa chỉ C&C được nhúng/tính toán để trích xuất payload trọng giai đoạn tiếp theo.
- Giải mã payload DLL nhận được (Aria-body backdoor).
- Tải và thực hiện chức năng export của DLL – được tính toán bằng thuật toán băm djb2.
Main logic của loader
4.1.1 Cấu hình và DGA
Cấu hình loader được mã hóa và chứa các thông tin sau: domain C&C, cổng, user-agent và seed cho thuật toán DGA. Trong trường hợp seed không bằng 0, loader sử dụng phương thức DGA để tạo domain C&C của nó, dựa trên seed và ngày giao tiếp.
4.1.2 Giao tiếp C&C
Sau khi có được domain C&C, loader sẽ liên hệ để tải xuống payload cho giai đoạn tiếp theo và cuối cùng của chuỗi lây nhiễm. Những kẻ tấn công vận hành máy chủ C&C trong một khoảng thời gian hạn chế mỗi ngày, chỉ truy cập trực tuyến trong vài giờ, khiến việc truy cập vào các phần nâng cao của chuỗi lây nhiễm trở nên khó khăn hơn.
4.1.3 Payload giao đoạn tiếp theo
Ở giai đoạn tiếp theo và giao đoạn cuối cùng của trình tải, công cụ RAT tải xuống từ trước được giải mã bằng khóa XOR một byte, nhận được từ C&C. Khi DLL của công cụ RAT được tải xuống và giải mã, DLL được tải vào bộ nhớ. Sau đó, trình tải sẽ kiểm tra hàm đã xuất với giá trị bằng djb2 được khai báo cứng và sẽ gọi DLL khi khớp.
- Phân tích công cụ RAT Aria-Body
Payload được tải xuống là một RAT tùy chỉnh được đặt tên là Aria-body, dựa trên tên được đặt bởi các tác giả: aria-body-dllX86.dll.
Mặc dù phân tích dưới đây là về phần mềm độc hại biến thể 32 bit, Checkpoint cũng đã quan sát thấy một biến thể 64 bit, với chức năng tương tự.
Các chuỗi được tìm thấy trong backdoor Aria-body
RAT bao gồm các khả năng khá phổ biến của một backdoor, bao gồm:
– Tạo/Xóa file và thư mục
– Chụp ảnh màn hình
– Tìm file
– Khởi động file bằng ShellExecute
– Liệt kê các process qua các modules
– Lấy metadata của các file
– Lấy bảng trạng thái của các giao thức TCP và UDP
– Đóng 1 giao thức TCP
– Lấy thông tin Hệ điều hành
– Xác nhận vị trí thông qua verifyip.amazonaws.com
– (Có thể) Trao đổi qua Inter-process pipe
Một số biến thể của Aria-body cũng bao gồm các mô-đun khác như:
– Mô đun thu thập dữ liệu USB
– Mô-đun Keylogger để thu thập các tổ hợp phím – được thêm vào tháng 2 năm 2018
– Mô-đun Reverse socks proxy – thêm vào lúc T2 2018
– Mô-đun để load các phần bổ trợ – thêm vào lúc T12 2019
– Tất cả các chức năng hỗ trợ đều được miêu tả ở Phụ lục A
5.1 Các đặc điểm đặc thù
Trong phần sau, Checkpoint sẽ giới thiệu một số kỹ thuật mà backdoor được triển khai và nêu các đặc điểm có thể giúp các nhà nghiên cứu khác nhận ra backdoor này và tương quan nó với các mẫu khác.
5.1.1 Bước đầu
Như đã đề cập trước đó, backdoor chứa một hàm xuất, mà trình tải trước gọi sau khi tải, tải vào bộ nhớ. Khi thực hiện, backdoor khởi tạo một cấu trúc có tên MyDeriving và một số cấu trúc được sử dụng cho kết nối HTTP và TCP..
5.1.2 Tìm thông tin
Aria bắt đầu bằng việc thu thập dữ liệu trên máy nạn nhân, bao gồm:
Tên máy chủ, tên máy tính, tên người dùng, tên miền, phiên bản windows, bộ xử lý ~ MHz, MachineGuid, 64 bit hoặc không, và IP công cộng (sử dụng checkip.amazonaws.com).
Aria-body sử dụng dịch vụ checkip.amazonaws.com để lấy IP nạn nhân
Dữ liệu này được thu thập vào một cấu trúc thông tin mà RAT nén với mật khẩu được tạo ngẫu nhiên 8 byte, sau đó được XOR với một byte.
5.1.3 C&C Communication
Giao tiếp với máy chủ C&C có sẵn bằng các giao thức HTTP hoặc TCP. Phần mềm độc hại quyết định giao thức nào được sử dụng bởi flag trong cấu hình của trình tải. Dữ liệu thu thập được gửi đến miền C&C cùng với mật khẩu XOR và khóa XOR theo định dạng sau:
Cấu trúc dữ liễu giao tiếp với C & C
Cho dù tin nhắn được gửi bởi TCP hay HTTP, định dạng tải trọng là như nhau. Tuy nhiên, khi HTTP được chọn, định dạng yêu cầu GET sau đây được sử dụng:
https: //% s:% d / list.html? q = <chuỗi ngẫu nhiên>
Sau khi yêu cầu ban đầu đến máy chủ C&C, backdoor sẽ tiếp tục nghe các lệnh bổ sung từ máy chủ. Khi một lệnh được nhận, nó được khớp với danh sách các lệnh và được thực thi tương ứng. Một danh sách đầy đủ các lệnh được hỗ trợ có sẵn trong Phụ lục A.
- Biến thể DLL giống Outlook
Trong quá trình nghiên cứu, Checkpoint đã tìm thấy một biến thể khác khá độc đáo của Aria-body được tải lên VirusTotal từ Philippines. Biến thể DLL này được đặt tên là outllib.dll và nó là một phần của tệp lưu trữ RAR có tên Office.rar. Nó sử dụng kỹ thuật side-loading, lạm dụng một phần mêm thực thi của Outlook cũ.
Điều không bình thường trong biến thể này là thực tế là không có bộ nạp nào như một phần của chuỗi lây nhiễm, không giống như tất cả các phiên bản khác của Aria-body. Kết quả là, nó không nhận được bất kỳ cấu hình nào từ trình tải và bao gồm cấu hình được mã hóa cứng bên trong nó.
Tải trọng có hai miền C&C khác nhau:
– blog.toptogear [.] com – mà nó nhận được bằng cách XOR một chuỗi được mã hóa với byte 0x15.
– 202.90.141 [.] 25 – IP được liên kết với trang web của chính phủ Philippines, được sử dụng trong trường hợp tên miền C&C đầu tiên không thể được giải quyết.
Sử dụng máy chủ C&C của Philippines để sao lưu
Biến thể này cũng có một số tính năng bổ sung mà biến thể chính của Aria-body không bao gồm, chẳng hạn như mô-đun màn hình USB. Mặt khác, biến thể này thiếu thành phần keylogger và mô-đun vớ ngược. Bằng chứng này cho thấy đây là một biến thể ngoài phạm vi của backdoor, được điều chỉnh cho một hoạt động cụ thể.
Hơn nữa, chúng ta đã thấy rằng biến thể chính của Aria-body, có một phiên bản được biên dịch sau khi biến thể outlib.dll và một số chuỗi trong biến thể này có thể gợi ý rằng đó là biến thể thử nghiệm của phiên bản đặc biệt này:
Chuỗi string “TEST” như một phần của cấu trúc kết nố “outllib.dll”
Cuối cùng, phiên bản này của Aria-body này bao gồm chuỗi String sau: c: \ users \ bruce \ desktop \ 20190813 \ arn \ agent \ verinfo.h, với “ar” ở trong “arn” có nghĩa là “Aria”
- Thuộc Tính
Checkpoint đã có thể gán chiến dịch của mình cho nhóm Naikon APT bằng cách sử dụng một số điểm tương đồng mà Checkpoint đã quan sát với thông tin được tiết lộ trước đây về hoạt động của Naikon bởi Kaspersky vào năm 2015: 1, 2. Trong hoạt động này, nhóm Naikon APT đã sử dụng một backdoor chống lại các tổ chức chính phủ khác nhau trong APAC.
Tiếp tới, Checkpoint sẽ đề cập đến backdoor được phân tích bởi Kaspersky là XsFunction do đường dẫn PDB được tìm thấy trong một trong các mẫu của nó:
g: \ MyProjects \ xsFunction \ Release \ DLL.pdb
XsFunction là một backdoor đầy đủ tính năng hỗ trợ 48 lệnh khác nhau. Nó cho phép kẻ tấn công giành quyền kiểm soát hoàn toàn trên máy tính nạn nhân, thực hiện các thao tác tệp và xử lý, thực thi lệnh shell, cũng như tải lên và tải xuống dữ liệu và các bổ sung.
Checkpoint đã có thể tìm thấy một số điểm tương đồng với các hoạt động trước đó (bên cạnh sự trùng lặp rõ ràng trong mục tiêu), cũng như các điểm tương đồng cụ thể với cửa backdoor XsFunction.
7.1 Sự tương đồng trong các chuỗi String
Aria-body backdoor có một số chuỗi gỡ lỗi mô tả chức năng của phần mềm độc hại.
Một số chuỗi String gỡ lỗi này cũng có thể được tìm thấy trong backdoor XsFunction:
Các chuỗi string có trong backdoor Aria-body
Các chuỗi sting trong XsFunction (d085ba82824c1e61e93e113a705b8e9a)
7.2 Sự tương đồng trong các hàm Hashing
Cả hai bộ tải XsFunction và bộ tải Aria-body đều sử dụng cùng một thuật toán hashing djb2 để tìm ra hàm xuất nào sẽ được chạy. Trong XsFunction, tên của chức năng đó là XS02 và trong Aria-body, đó là AzManager.
Bộ tải XsFunction (Ảnh bởi Kaspersky)
Bổ tải Aria-body
7.3 Sự tương đồng trong code
Một số chức năng trong backdoor Aria-body giống hệt với các chức năng được sử dụng trong backdoor XsFactor cũ. Một ví dụ là chức năng thu thập thông tin về phần mềm đã cài đặt trên PC:
7.4 Cơ sở hạ tầng chồng chéo
Bốn trong số các máy chủ C&C của Checkpoint đã chia sẻ IP với tên miền mopo3 [.], Tên miền này phân giải thành cùng một IP như tên miền được đề cập trong báo cáo của Kaspersky: myanmartech.vicp [.] Net.
Maltego – Biểu đồ của cơ sở hạ tầng chồng chéo
- Kết luận
Trong chiến dịch này, Checkpoint đã phát hiện ra sự lặp lại mới nhất của những gì dường như là một hoạt động lâu dài của Trung Quốc chống lại các thực thể chính phủ khác nhau trong APAC. Chiến dịch cụ thể này đã tận dụng cả hai bộ công cụ phổ biến như vũ khí hóa RoyalRoad RTF, cũng như một backdoor được chế tạo đặc biệt có tên là Aria-body.
Trong khi nhóm Naikon APT đã được theo dõi trong 5 năm qua, có vẻ như họ đã không nghỉ ngơi, trong thực tế, hoàn toàn ngược lại. Bằng cách sử dụng cơ sở hạ tầng máy chủ mới, các biến thể của trình tải thay đổi liên tục, tải không dung file trong bộ nhớ, cũng như một backdoor mới – nhóm Naikon APT có thể ngăn các nhà phân tích truy tìm hoạt động của họ.
Bài viết gốc và IoCs có thể được tìm thấy ở: https://research.checkpoint.com/2020/naikon-apt-cyber-espionage-reloaded/