Группировка Naikon в течение пяти лет следила за ведущими организациями Индонезии, Непала и Сингапура

image

Теги: шпионаж, фишинг, данные

Некоторые из организаций были под постоянным наблюдением Naikon в режиме реального времени.

ИБ-исследователи из «Лаборатории Касперского» сообщили , что группировка Naikon последние пять лет успешно проникала в национальные компании в регионах вокруг Южно-Китайского моря в поисках геополитических разведданных. Naikon напоминает обнаруженную специалистами FireEye группировку APT30, однако точного соответствия ИБ-исследователи из «Лаборатории Касперского» не выявили.

Члены группировки, разговаривающие на китайском языке, в различных странах создали свою инфраструктуру с передовыми средствами анализа данных и шпионскими инструментами. Основными целями Naikon являются государственные учреждения и ведущие гражданские и военные организации в Филиппинах, Малайзии, Камбодже, Индонезии, Вьетнаме, Мьянме, Сингапуре и Непале.

В число жертв Naikon входят такие ветви исполнительной власти, как Администрация президента, Администрация генерального секретаря кабинета министров, Федеральная полиция, Министерство юстиции и пр. Некоторые из этих организаций были под постоянным наблюдением шпионов в режиме реального времени.

Naikon создала очень гибкую инфраструктуру, которая может быть установлена в любой целевой стране и с помощью туннелирования трафика передавать данные с систем жертвы в командный центр шпионов, заявил ИБ-эксперт из «Лаборатории Касперского» Курт Баумгартнер (Kurt Baumgartner). Прокси-сервер находится на территории целевой страны, что дает Naikon возможность получать данные ежедневно.

Naikon чаще всего обращаются к фишинг-атаке, которая обычно начинается с отправки электронного письма с вложением. Вложение-приманка выглядит как документ Word, но на самом деле это исполняемый файл с двойным расширением. Файл эксплуатирует уязвимость, связанную с переполнением буфера в ListView/TreeView и влияет на работу Office 2003 SP3, 2007 SP2, SP3 и 2010. Таким образом в руках шпионов оказываются электронная переписка и важные данные сотрудников организаций.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.