Лабораторії Bitdefender розкривають військове кібершпигунство: група хакерів Naikon використовує методи бокового завантаження та потужні бекдори для шпигунства та викрадання даних.
Під час аналізу зловживання вразливим законним програмним забезпеченням Bitdefender Labs виявила тривалу кампанію кібершпигунства відомої групи APT Naikon. Naikon працює більше десяти років. Китайомовна група зосереджується на цілях високого рівня, таких як державні установи та військові організації. Зібрані докази свідчать про те, що метою кампанії було шпигунство та викрадання даних. Подібні атаки за прикладом одного з найбільш кібернебезпечних регіонів на даний момент – Південно-Східної Азії – можливі і в Європі.
Націлювання на військові організації в Південно-Східній Азії
Експерти Bitdefender Labs змогли визначити, що жертвами цієї операції є військові організації в Південно-Східній Азії. Кампанія була активна з червня 2019 року по березень 2021 року. На початку операції зловмисники використовували завантажувач тіла Aria та новий бекдор під назвою «Nebulae» як перший етап атаки. Станом на вересень 2020 року група додала бекдор RainyDay до свого інструментарію.
Використовуються методи бокового завантаження
Викрадення DLL та інші методи стороннього завантаження існують вже дуже давно. Вони трапляються часто, і теоретично їх можна добре запобігти. Але те, що виглядає простим на папері, швидко стає проблемою у все більш складному світі програмного забезпечення. Ось чому хакери використовують стороннє завантаження для компромісу - як для приватних, так і для державних клієнтів. У рамках цієї хвилі атак група Naikon також зловживала численними законними програмами.
Реконструйовано новий бекдор/ланцюг вбивств
Інструменти, які запускаються бекдором RainyDay (Зображення: Bitdefender).
Bitdefender Labs також виявили новий бекдор, який вони назвали Nebulae. Nebulae служить резервним копіюванням для зловмисників після того, як захист усуне основний бекдор. Експерти Bitdefender змогли реконструювати повний ланцюжок убивств цієї кампанії Naikon Group і перерахувати всі використані інструменти. Bitdefender представляє всі деталі атаки в англомовному PDF-звіті.
Більше на Bitdefender.com