Ein Bericht von Kaspersky Lab enthüllt neue Erkenntnisse über die APT-Gruppe (Advanced Persistent Threat) „Naikon“ [1], die in den vergangenen fünf Jahren erfolgreich hochrangige nationale Organisationen und Institutionen rund um das Südchinesische Meer infiltrieren konnte.
Gemäß den Analysen von Kaspersky Lab scheinen die Naikon-Angreifer Chinesisch zu sprechen. Ihre Hauptziele sind hochrangige Regierungsinstitutionen sowie zivile und militärische Organisationen im asiatischen Raum – beispielsweise Philippinen, Malaysia, Kambodscha, Indonesien, Vietnam, Myanmar, Singapur, Nepal, Thailand, Laos und China [2].
Bei den Naikon-Angriffen stechen die folgenden Merkmale hervor:
Kaspersky Lab wurde im Rahmen einer Analyse der APT-Gruppe „Hellsing“ [3] auf Naikon aufmerksam – ein seltenes und unübliches Beispiel einer Cyberattacke, bei der sich die Cyberspionagegruppen Hellsing und Naikon untereinander bekämpft haben.
„Die kriminellen Hintermänner der Naikon-Attacken haben eine sehr flexible Infrastruktur entworfen, die in jedem Land aufgesetzt werden kann, indem Informationen vom Opfersystem zur Kommandozentrale getunnelt werden. Wenn die Angreifer sich dazu entschließen, ein anderes Ziel in einem anderen Land zu verfolgen, können sie einfach eine neue Verbindung aufbauen. Auch die vorgesehenen Ansprechpartner vor Ort, die sich auf ihr eigenes Set an Zielen konzentrieren, vereinfachen die Operationen der Naikon-Spionage-Gruppe”, sagt ,Kurt Baumgartner, Principal Security Researcher bei Kaspersky Lab.
Die Opfer von Naikon werden über Spear-Phishing attackiert, also über maßgeschneiderte E-Mails mit gefährlichen Anhängen, die das Interesse potenzieller Opfer wecken sollen. Anstatt eines gewöhnlichen Word-Dokuments entpuppt sich der Anhang allerdings als ausführbare Datei.
Kaspersky Lab rät Organisationen zu den folgenden Maßnahmen, um sich vor den Naikon-Angriffen zu schützen:
Der Automatische Exploit-Schutz [5] von Kaspersky Lab erkennt die Naikon-Komponenten als „Exploit.MSWord.CVE-2012-0158”, „Exploit.MSWord.Agent”, „Backdoor.Win32.MsnMM”, „Trojan.Win32.Agent” und „Backdoor.Win32.Agent”.
Eine technische Analyse über die Naikon-Gruppe kann unter http://www.viruslist.com/de/analysis?pubid=200883885 oder https://securelist.com/analysis/publications/69953/the-naikon-apt/ abgerufen werden.
[1] http://www.viruslist.com/de/analysis?pubid=200883885
[2] http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/PDFs/Kaspersky_infographics__Naikon-APT_map.jpg
[3] http://newsroom.kaspersky.eu/de/texte/detail/article/cyberspionage-gruppen-bekaempfen-sich-gegenseitig/
[4] http://newsroom.kaspersky.eu/de/texte/detail/article/security-services-kaspersky-lab-1/ und http://newsroom.kaspersky.eu/de/texte/detail/article/unternehmensloesungen-von-kaspersky-lab/v
[5] http://media.kaspersky.com/pdf/kaspersky-lab-whitepaper-automatic-exploit-prevention.pdf