Кибершпионская группировка Naikon уже пять лет орудует в Юго-Восточной Азии

Новости Угрозы

APT-группировка, члены которой говорят на китайском, шпионит за военными ведомствами, правительственными и общественными организациями в районе Южно-Китайского моря, в котором в последнее время все чаще разгораются территориальные споры.

Naikon также известна по именем APT-30. Согласно свежему отчету команды GReAT «Лаборатории Касперского», APT-кампания охватила такие страны, как Филиппины, Малайзия, Камбоджа, Индонезия, Вьетнам, Мьянма, Сингапур и Непал.

APT-группировка Naikon похищает геополитические сведения стран Юго-Восточной Азии

Как и многие другие APT-кампании, для первоначального заражения атакуемых сетей Naikon использует метод целевого фишинга. Вредоносные исполняемые файлы, заражающие компьютер жертвы, преступники маскируют под рабочие документы, имеющие весьма правдоподобные названия.

Как только пользователь открывает подобное вложение, поддельный документ отвлекает внимание жертвы, в то время как на заднем плане исполняемый файл скрытно устанавливает зловреда на ПК жертвы, используя одну из давно известных уязвимостей Microsoft Office.

Целых пять лет кибершпионы наводили мосты со всеми странами, попавшими под прицел. Изучив некоторые культурные особенности этих государств, участники Naikon активно используют полученные знания: например, в некоторых странах кибершпионы используют в своих целях привычку полагаться на личные электронные адреса при ведении деловой переписки. Благодаря этому злоумышленники сумели создать email-адреса, похожие на легитимные, что и обеспечило высокую эффективность фишинговой кампании.

Группировка размещает свои командные серверы в целевых странах, обеспечивая тем самым более надежный контроль над зараженными компьютерами и кражей данных в режиме реального времени. Злоумышленники могут перехватывать трафик в сети, связывающей целевые организации. Кроме того, они способны использовать в удаленном режиме 48 команд, позволяющих, к примеру, просматривать все системные файлы на инфицированных машинах, загружать и выгружать данные, устанавливать дополнительные модули и работать с командной строкой на целевых системах.

Таким образом, группировка способна полностью перехватить контроль над любым компьютером, инфицированным в ходе атаки Naikon. Главной целью кампании Naikon является сбор геополитических данных.

Хакеры, стоящие за атакой Naikon, сформировали эффективную инфраструктуру, которую можно развернуть в любой стране

«Хакеры, стоящие за атакой Naikon, сформировали эффективную инфраструктуру, которую они способны развернуть в любой стране. С ее помощью информация, хранящаяся на скомпрометированном компьютере, напрямую доставляется в командный центр, — объясняет главный исследователь информационной безопасности в «Лаборатории Касперского» Курт Баумгартнер. — Если вдруг злоумышленников заинтересует любая другая страна, им просто нужно будет установить связь с целью атаки. Наличие «специальных агентов», курирующих определенные цели, значительно облегчает жизнь этой кибершпионской группировке».

В одной из стран, название которой «Лаборатория Касперского» не раскрывает, хакеры группировки Naikon смогли скомпрометировать компьютеры в администрации президента, штабе вооруженных сил, офисе главы кабинета министров, а также в совете национальной безопасности, администрации заместителя министра юстиции, штабе национальной разведывательной службы, управлении гражданской авиации, министерстве юстиции, федеральной полиции и аппарате управления делами президента.

Для защиты от данной и других киберкампаний эксперты «Лаборатории Касперского» рекомендуют пользователям не открывать вложения от незнакомых отправителей, использовать передовые антивирусные продукты и своевременно обновлять операционную систему.