Informe: grupo de piratería vinculado a China se ha infiltrado en los gobiernos de APAC durante años


La evidencia recientemente publicada apunta a que el APT de Naikon está a la cabeza de una campaña de espionaje de 5 años que ha robado información de países de toda la región de Asia y el Pacífico.

Empresa de seguridad Look at Stage ha encontrado evidencia que un grupo de piratería vinculado al gobierno chino se ha infiltrado y recopilado información sobre gobiernos de toda la región Asia-Pacífico (APAC) durante más de cinco años.

El grupo, conocido como Amenaza persistente avanzada de Naikon (APT) fue descubierto por primera vez en 2015, y después de que se hizo público un informe que nombrado uno de sus miembros El grupo se quedó en silencio.

Ahora, en 2020, la investigación de Check out Issue sugiere que el grupo se ha mantenido activo y se ha encontrado dirigido a gobiernos en Australia, Indonesia, Filipinas, Vietnam, Tailandia, Myanmar y Brunei.

De certain interés para Naikon en sus ataques han sido los ministerios de asuntos exteriores, las agencias de ciencia y tecnología y las empresas estatales. Para hacer las cosas más peligrosas, los ataques están aprovechando los datos robados de los gobiernos objetivo para infiltrarse en otros departamentos y otras naciones mediante la explotación de los lazos diplomáticos.

VER: Ciberseguridad: pongámonos tácticos (PDF gratuito) (TechRepublic)

Cómo Naikon APT es infiltración en el APAC

Check out Point enumera específicamente un ataque de puerta trasera conocido como Aria-Physique para ser el arma de elección en la campaña de Naikon, que se descubrió en 2015 y está en curso.

«Nuestra investigación comenzó cuando observamos un correo electrónico malicioso enviado desde una embajada del gobierno en APAC al gobierno australiano, llamado The Indians Way.doc. Este archivo RTF, que fue infectado (armado) con el constructor de exploits &#39RoyalRoad&#39, deja caer un cargador llamado intel.wll en la carpeta de inicio de Term de la Computer system de destino «, dijo Test Issue en el informe.

El cargador luego descarga cargas útiles adicionales, con el objetivo final de instalar Aria-Human body, un troyano de acceso remoto (RAT) de puerta trasera con capacidades similares a otras RAT vistas en el pasado. Es capaz de:

  • Crear, editar y eliminar archivos y directorios.
  • Tomar capturas de pantalla
  • Buscar archivos
  • Lanzar archivos
  • Enumerar procesos
  • Recopilar metadatos
  • Recopilar estados TCP / UDP
  • Cerrar sesiones TCP
  • Información del sistema operativo del catálogo
  • Verifique la ubicación física usando Comprobador de IP de AWS
  • Instalar keyloggers

Check Place ha encontrado tres versiones del ataque: archivos RTF infectados, archivos que contienen una DLL maliciosa y un cargador ejecutable directo. Los tres se abren camino en la carpeta de inicio de una computadora, descargan malware adicional de un servidor de comando y management y se ponen a trabajar para recolectar información.

El informe concluye que Naikon APT ha estado todo menos inactivo en los cinco años desde que se descubrió. «Al utilizar una nueva infraestructura de servidor, variantes de cargador en constante cambio, carga sin archivos en memoria, así como una nueva puerta trasera, el grupo Naikon APT pudo evitar que los analistas rastrearan su actividad hacia ellos», dijo Check out Issue en su informe. .

Si bien puede parecer que el ataque no está dirigido a gobiernos fuera de la región APAC, ejemplos como estos deberían servir como advertencias a otros gobiernos y organizaciones privadas preocupadas por las amenazas de ciberseguridad.

Una de las razones por las que Naikon APT ha podido difundirse hasta ahora es porque aprovecha las direcciones de correo electrónico robadas para que los remitentes parezcan legítimos. Toda organización, sin importar el tamaño, debe tener buenos filtros de correo electrónico y debe capacitar a los empleados para que reconozcan los signos de phishing y otros ataques basados ​​en correo electrónico.

naikon-map-image.jpg "src =" https://tr3.cbsistatic.com/hub/i/r/2020/05/06/c5d26ee8-d38c-47d5-8d91-1f735e366d3b/resize/770x/9f417920dbb3745e8a1d58d4eeb7e42c/naik -map-image.jpg

Imagen: Check out Level Protection



Enlace a la noticia unique