Naikon APT на протяжении пяти лет атакует правительственные организации

SecurityLab.ru 7 мая 2020
Специалисты из компании Check Point обнаружили текущую кампанию по кибершпионажу, нацеленную на правительственные организации в , , , , , и . Как отметили эксперты, китайская киберпреступная группировка Naikon APT оставалась незамеченной в течение как минимум пяти лет и все еще продолжает осуществлять атаки.
Naikon APT, являвшаяся одной из самых активных группировок в Азии до 2015 года, провела серию кибератак в Азиатско-Тихоокеанском регионе. Naikon APT действовала на протяжении последних пяти лет и использовала новый бэкдор под названием Aria-body. Как пояснили исследователи, целью группировки является сбор разведданных и шпионаж за правительствами целевых стран.
RAT Aria-body способен создавать и удалять файлы и каталоги, делать скриншоты, выполнять поиск файлов, собирать метаданные файлов, информацию о системе и местоположении. Некоторые последние версии Aria-body также оснащены возможностями для кейлоггинга и загрузки других расширений. Помимо эксфильтрации всех собранных данных на C&C-сервер, бэкдор способен выполнять и другие команды.
«Это включает в себя не только обнаружение и кражу определенных документов с зараженных компьютеров и сетей внутри правительственных учреждений, но также извлечение съемных дисков с данными, создание скриншотов, кейлоггинг, и сбор хищение данных», — пояснили эксперты.
В качестве начального вектора атаки Naikon APT отправляет электронные письма с вредоносными вложениями в правительственные учреждения высшего уровня, а также гражданские и военные организации. Письма после открытия устанавливали шпионское ПО, которое отправляло конфиденциальные данные на C&C-серверы.
В ходе одной из последних атак преступники из Naikon APT выдавали себя за представителей иностранного правительства. Злоумышленники загружали на системы жертвы бэкдор Aria-body, а вредоносные электронные письма содержали RTF-файл с компоновщиком эксплойтов под названием RoyalBlood, который устанавливал загрузчик (intel.wll) в системную папку запуска Word («% APPDATA%\Microsoft\Word\STARTUP»).
Эксперты отметили, что тактика с использованием RoyalBlood также применялась группировкой Vicious Panda в ходе кампании против правительственных учреждений Монголии.
Комментарии
Другое , Microsoft , Австралия , Бруней , Вьетнам , Индонезия , Бирма , Таиланд , Филиппины
Читайте также
Бузова и Манукян готовятся к свадьбе
2
Россияне высказались об объединении НАО и Архангельской области
Последние новости
Mozilla, Twitter и Reddit встали на защиту безопасного web-браузинга
Новая версия ComRAT атакует МИДы
DoS-атака RangeAmp способна вывести из строя тысячи сайтов одновременно