Μια hacking ομάδα έχει αναπτύξει ένα νέο backdoor που χρησιμοποιείται σε εκστρατείες κυβερνο-κατασκοπείας, οι οποίες στοχεύουν στρατιωτικούς οργανισμούς από τη Νοτιοανατολική Ασία.
Για τουλάχιστον μια δεκαετία, η hacking ομάδα Naikon κατασκοπεύει οργανισμούς σε διάφορες χώρες, όπως Φιλιππίνες, Μαλαισία, Ινδονησία, Σιγκαπούρη και Ταϊλάνδη.
Η Naikon είναι πιθανώς μια κρατική hacking ομάδα, που συνδέεται με την Κίνα, και είναι κυρίως γνωστή για τις επιθέσεις της σε οργανισμούς “υψηλού προφίλ”, όπως κυβερνητικούς φορείς και στρατιωτικούς οργανισμούς.
Δείτε επίσης: Κινέζοι χάκερς εκμεταλλεύτηκαν Pulse Secure VPN zero-day για να παραβιάσουν εργολάβους άμυνας των ΗΠΑ
Κατά τη διάρκεια των επιθέσεών της, η Naikon έκανε κατάχρηση νόμιμου λογισμικού για να φορτώσει παράλληλα το second-stage malware με το όνομα Nebulae. Σύμφωνα με ερευνητές της Bitdefender, αυτό χρησιμοποιείται πιθανότατα για persistence στα συστήματα των θυμάτων.
Όμως, το Nebulae malware παρέχει πρόσθετες δυνατότητες που επιτρέπουν στους εισβολείς να συλλέγουν πληροφορίες συστήματος, να χειρίζονται αρχεία και φακέλους, να κατεβάζουν αρχεία από τον command-and-control server και να εκτελούν, να καταγράφουν ή να τερματίζουν διαδικασίες σε παραβιασμένες συσκευές.
Δείτε επίσης: Hackers χρησιμοποιούν το Telegram στα πλαίσια malware εκστρατείας
“Τα δεδομένα που έχουμε συγκεντρώσει μέχρι στιγμής δεν λένε σχεδόν τίποτα για το ρόλο του Nebulae σε αυτήν την επιχείρηση, αλλά η παρουσία του persistence μηχανισμού θα μπορούσε να σημαίνει ότι χρησιμοποιείται ως εφεδρικό σημείο πρόσβασης στο σύστημα του θύματος, σε περίπτωση αρνητικού σεναρίου για τους hackers“, είπε ο ερευνητής της Bitdefender, Victor Vrabie.
Στις ίδιες επιθέσεις, οι hackers της Naikon παρέδωσαν επίσης ένα first-stage malware, που είναι γνωστό ως RainyDay ή FoundCore. Αυτό το malware χρησιμοποιείται για την ανάπτυξη second-stage payloads και εργαλείων (συμπεριλαμβανομένου του Nebulae backdoor) που χρησιμοποιούνται για διάφορους σκοπούς.
Δείτε επίσης: SolarWinds Sunburst backdoor: Κοινά στοιχεία με malware ρωσικής APT ομάδας
“Χρησιμοποιώντας το RainyDay backdoor, οι εγκληματίες πραγματοποιούν reconnaissance επιθέσεις, κάνουν upload reverse proxy tools και scanners, τρέχουν password dump tools, επιτρέπουν persistence κλπ για να θέσουν σε κίνδυνο το δίκτυο των θυμάτων και να φτάσουν στις πληροφορίες που τους ενδιαφέρουν“, είπε ακόμη ο Vrabie. Κατά τη διάρκεια επιθέσεων που παρατηρήθηκαν μεταξύ Ιουνίου 2019 και Μαρτίου 2021, η Naikon εγκατέστησε κακόβουλα payloads χρησιμοποιώντας διάφορες side-loading τεχνικές, συμπεριλαμβανομένων DLL hijacking ευπαθειών.
Πηγή: Bleeping Computer