Die chinesischsprachige Advanced-Persistent-Threat-Gruppe Naikon zielt auf militärische, behördliche und zivile Organisation im Südchinesischen Meer ab, einem immer kontroverseren Nährboden für Territorialkonflikte zwischen verschiedenen südasiatischen Ländern.
Naikon ist auch unter dem Namen APT-30 aktiv. Die Gruppe zielt laut einem neuen Bericht von Kasperskys Global Research and Analysis Team vor allem auf die Philippinen, Malaysia, Kambodscha, Indonesien, Vietnam, Myanmar, Singapur und Nepal ab.
Wie viele APT-Kampagnen, so infiziert auch Naikon seine Opfer über Spear-Phishing-E-Mails, in denen schädliche ausführbare Dateien, getarnt als wichtige Dokumente, enthalten sind. Werden diese geöffnet, öffnet sich ein falsches Dokument, während eine ausführbare Datei heimlich eine alte Sicherheitslücke in Microsoft Office ausnutzt und ein Schadprogramm auf dem Computer installiert.
Die APT-Gruppe hat seit fünf Jahren kulturelle Kontaktpersonen in jedem der angegriffenen Länder aufgebaut. Auf diese Art und Weise kann Naikon kulturelle Eigenheiten ausnutzen, etwa die Verwendung persönlicher E-Mail-Adressen für geschäftliche Zwecke. Die Angreifer nutzen das aus, indem sie E-Mail-Adressen einrichten, die den echten sehr ähnlich sind – damit können sie effektivere Phishing-Nachrichten versenden.
Hellsing APT retaliates against Naikon attackers with own phishing ploy | http://t.co/fah3HZ81Aj pic.twitter.com/QUwv6hvzVK
— SC Media (@SCMagazine) April 15, 2015
Die Gruppe hat auch Teile ihrer Command-and-Control-Infrastrutkur in den den entsprechenden Ländern installiert, um täglichen Support für Echtzeitverbindungen und Datendiebstahl zu ermöglichen. Zudem können sie auch den Datenverkehr über ganze Opfernetzwerke abfangen und 48 Remote-Kommandos versenden, inklusive der Übernahme kompletter Verzeichnisse von Systemdateien, dem Download und Upload von Daten, der Installierung von Add-On-Modulen und der Arbeit mit Command Lines oder Prompts.
Diese 48 Kommandos erlauben den Cyberkriminellen, die komplette Kontrolle über Naikon-infizierte Maschinen zu übernehmen. Das oberste Ziel von Naikon ist es, geopolitische Informationen zu sammeln.
„Die Kriminellen hinter den Naikon-Angriffen entwickelten eine sehr flexible Infrastruktur, die in jedem Zielland aufgebaut werden kann, und Informationen von den Opfercomputern zum Command-Center sendet“, erklärt Kasperskys Principle Security Researcher Kurt Baumgartner. „Wenn die Angreifer beschließen, ein anderes Ziel in einem anderen Land anzugreifen, bauen sie einfach eine neue Verbindung auf. Dass dedizierte Bediener eingesetzt werden, die sich auf bestimmte Ziele konzentrieren, macht es für die Naikon-Spionagegruppe recht einfach.“
In einem Land, dessen Name Kaspersky Lab nicht nennt, schafften es die Naikon-Hacker, das Büro des Präsidenten, Militäreinrichtungen, das Büro des Kabinettssekretärs, den nationalen Sicherheitsrat, das Büro des Generalstaatsanwalts, die nationale Spionagekoordination, die zivile Luftfahrtbehörde und Einrichtungen des Justizministeriums sowie der Bundespolizei zu kompromittieren.
Die #Naikon #APT stiehlt geopolitische Informationen von Ländern rund um das Südchinesische Meer.
Tweet
Die Experten von Kaspersky Lab empfehlen Anwendern, keine Anhänge in Mails von Menschen, die Sie nicht kennen, zu öffnen, eine zuverlässige Sicherheitslösung zu verwenden und das Betriebssystem und alle Programm aktuell zu halten.