中国APT组织Naikon瞄准了西澳洲政府
Check Point软件技术公司的威胁情报部门发现,一个中国的APT组织正在瞄准亚太地区的多个政府,其中包括西澳大利亚洲政府。Check Point Research表示,Naikon的网络间谍行动持续五年,通过 "政府对政府 "的攻击,将澳大利亚、印度尼西亚、菲律宾、越南、泰国、缅甸和文莱境内的政府作为目标。
据该IT安全公司称,Naikon的主要攻击方式是潜入一个政府机构,然后利用该机构的联系人、文件和数据,对其他政府目标发起有针对性的网络钓鱼攻击,从而利用部门与政府之间的信任和外交关系,增加攻击成功的几率。
通过使用一个名为Aria-body的后门,Naikon获得了远程访问被感染的个人电脑或网络的权限,并绕过了安全措施。通过这样的访问权限,该组织可以复制、删除或创建文件。
虽然Naikon在2015年就已经活跃在公众视线中,但据观察,Aria-body已经开发出了新的躲避检测的方式,研究人员表示,这证明该组织在2019年和2020年第一季度加速了其网络间谍活动。
Check Point在本周发布的一份报告中透露,其调查在观察到一封名为 "The Indians Way.doc "的恶意邮件,该邮件是由澳大利亚驻亚太地区某政府大使馆向澳大利亚政府实体发送的,此后,调查工作拉开了序幕。
Check Point向ZDNet证实,这是西澳大利亚州政府。
"这个RTF文件被感染(武器化)了RoyalRoad漏洞构建器,将一个名为intel.wll的加载器丢入目标电脑的Word启动文件夹中。该加载器反过来又试图从spool.jtjewifyn[.]com下载并执行下一阶段的有效载荷,"Check Point说。
Aria-body首先收集受害者机器上的数据,包括:主机名、计算机名、用户名、域名、windows版本、处理器 ~MHz、MachineGuid、64位或非64位,以及公共IP。
https://icon.qiantucdn.com/20200509/95db4b3ddced147bb8b78685ce9bddab2
Aria-body使用checkip.amazonaws.com服务获取受害者的IP
Check Point说,Naikon专门针对政府的外交部、科技部以及政府所属企业。它说,其动机被认为是收集地缘政治情报。
"驱动他们的是他们收集情报和监视各国的欲望,他们在过去5年里悄悄地发展了自己的技能,并推出了一种新的网络武器 --Aria-body后门,"Check Point威胁情报部门经理Lotem Finkelsteen说。
"为了躲避侦查,他们使用了许多APT组织的漏洞,并独特利用受害者的服务器作为指挥和控制中心。我们发布了这项研究报告,作为警告和资源,供任何政府实体更好地发现Naikon或其他黑客组织的活动。"
页:
[1]