اخبار پر بازدیدحملات سایبری

حمله به سرورهای دولتی در چندین کشور توسط گروه “APT” معروف به Naikon مستقر در چین

خبر سایبری ، اخبار سایبری ، امنیت سایبری ، سایت خبری

گروه APT مستقر در چین به نام Naikon در روزهای اخیر حملات متعددی به چندین نهاد دولتی در محدوده های آسیایی و اقیانوس آرام (APAC) داشتند که توسط محققان امنیتی تیم Checkpoint شناسایی و کشف شد.

این کمپین فعالانه نهادهایی مانند وزارت امور خارجه، وزارت علوم و فناوری و همچنین شرکت های متعلق به دولت را هدف قرار می دهند. محققان امنیتی معتقدند جمع آوری اطلاعات توسط این گروه صرفا جاسوسی از کشورهای مورد حمله می باشد. اهدافی که گروه هکری Naikon دنبال می کردند شامل استخراج اطلاعات از رایانه ها و شبکه ها در ادارات دولتی، درایوهای قابل جابجایی، سرقت عکس ها و کلیدهای ورود به سیستم بود.

در ادامه تحقیقات، محققان امنیتی معتقدند که این گروه APT چینی ابتدا شبکه نهادهای دولتی را درگیر حملات سایبری می کند تا با استفاده از آدرس های آی پی و سرورهای آنها به نهادهای دولتی دیگر حمله کند.

مرحله بعدی عملیات های APT چینی شامل لودر RAT با نام Aria-body است که شامل ماژول های مختلف مانند جمع آوری داده های USB، ماژول Keylogger، ماژول socks proxy معکوس و لود کردن ماژول extension ها است.

زیرساخت گروه APT چینی

مهاجمان APT چینی از GoDaddy جهت رجیستر دامنه و سرور Alibaba برای میزبانی زیرساخت ها استفاده می کند. در ادامه مروری کاملی از زیرساخت ها خواهیم داشت.

گروه APT از زیرساخت های هک شده دولتی به عنوان سرورهای C&C استفاده می کنند، “IP این سرورها متعلق به پژوهشگران گروه علوم و فن آوری فیلیپین است که گروه Naikon از آن برای سرورهای C&C پشتیبان خود استفاده می کنند.”

اخبار سایبری

ارتباط در سرور C&C توسط پروتکل های HTTP یا TCP انجام می شود و داده های سرور C&C به همراه رمز عبور XORed و کلید XOR ارسال می شود.

خبر سایبری 

محققان امنیتی اظهار داشتند: “ما با استفاده از چندین فعالیت مشاهده شده توسط گروه Naikon  كه توسط تیم كاسپرسکی در سال 2015 ثبت شده، توانستیم این فعالیت ها را بررسی کرده و با گروه APT چینی تطبیق دهیم.”

گروه Naikon APT بیش از 5 سال است که از زیرساخت های جدید، انواع لودرهای متغییر، لودشدن بدون فیلتر در حافظه و همچنین یک بکدور جدید استفاده می کند.

دیدگاهتان را بنویسید