示意圖,Photo by Brian on https://www.flickr.com/photos/ncreedplayer/7269149362/ (CC BY-NC-SA 2.0)

中國駭客集團Naikon APT Group正利用新的Aria-body木馬程式,針對亞太地區的政府組織展開間諜行動,包括澳洲、印尼、菲律賓、越南、泰國、緬甸與汶萊。

關於Naikon APT的活動,最早是資安業者ThreatConnec在2015年發現他們的蹤跡,但曝光之後,該集團便消聲匿跡,但其實他們並沒有停止運作。有可能是強化了該集團隱匿的技術,或大幅改變行動的方式,一直到現在。

根據Check Point的分析,Naikon APT在過去十年都鎖定亞太地區,除了駭進這些國家的外交部、科技部或官方企業之外,也會以已遭開採組織作為跳板,攻擊其它的政府機關,其中一個例子是先滲透了一個大使館,再感染該大使館所在國家的政府部門,其目的是監控並蒐集這些國家的情報資訊。

當成功滲透這些政府或官方組織之後,駭客即可利用所植入的惡意程式蒐集特定的文件、汲取外接硬碟的機密資訊、側錄鍵盤輸入或拍下螢幕畫面。

在最近的攻擊行動中,Naikon APT集團的C&C伺服器大多採用同樣的代管及DNS服務,以GoDaddy作為註冊商,並由阿里雲代管其架構。

分析顯示,駭客先在受害電腦上植入加載器,並透過開機檔案常駐在受害者系統上,也會把自己嵌入其它程序中,再建立與C&C伺服器的連線,載入Aria-body木馬程式,而Aria-body則具備強化的功能,包括建立或刪除檔案與目錄,拍攝螢幕畫面,搜尋檔案,啟動檔案,蒐集機器或檔案的資訊,有些變種還能蒐集USB資訊,側錄鍵盤,更在去年底增加了載入其它惡意模組的能力。

Check Point認為,就算Naikon APT集團在過去五年看似按兵不動,但其實該集團並沒有閒著,而是透過了新的伺服器架構、不斷更新的加載器、記憶體內的無檔案下載,以及新的木馬程式持續展開攻擊,所有的手法都是為了避免被識破身分或遭到追蹤。


Advertisement

更多 iThome相關內容