APT27
APT27 (التهديد المستمر المتقدم) هو اسم مجموعة قرصنة نشأت في الصين وتميل إلى ملاحقة أهداف بارزة. يُعرف APT27 أيضًا بأسماء مستعارة أخرى مختلفة ، بما في ذلك Emissary Panda و LuckyMouse و BronzeUnion. من بين أكثر الحملات المعروفة التي نفذتها APT27 هجماتها التي استهدفت مقاولي الدفاع الأمريكيين. تشمل العمليات الشعبية الأخرى التي تقوم بها APT27 حملة ضد عدد من الشركات العاملة في القطاع المالي ، بالإضافة إلى هجوم تم شنه ضد مركز بيانات يقع في آسيا الوسطى. تتضمن أدوات القرصنة في أسلحة APT27 التهديدات التي من شأنها أن تسمح لهم بتنفيذ عمليات الاستطلاع أو جمع الملفات الحساسة من المضيف المصاب أو السيطرة على النظام المخترق.
اكتشف باحثو الأمن السيبراني لأول مرة نشاط APT27 في عام 2010 وظلوا يراقبونه عن كثب منذ ذلك الحين. منذ أن تم رصدها لأول مرة ، تمكنت APT27 من التنازل عن الأهداف التي تعمل في مجموعة متنوعة من الصناعات الرئيسية:
- الحكومي.
- دفاع.
- تكنولوجيا.
- طاقة.
- تصنيع.
- الفضاء.
من بين الأدوات الأكثر استخدامًا في ترسانة القرصنة الخاصة بـ APT27 هي Gh0st RAT و ZXShell و HyperBro . ومع ذلك ، فإن المحتالين الإلكترونيين من APT27 لا يعتمدون فقط على أدوات القرصنة المصممة خصيصًا. تستخدم APT27 ، مثلها مثل العديد من أجهزة الإرسال والاستقبال المزودة بنقطة وصول أخرى ، خدمات مشروعة لعملياتها الشائنة ، فضلاً عن أدوات القرصنة المتاحة للجمهور.
هاجمت APT27 مجموعة من الأهداف لأسباب متنوعة ، من سرقة البيانات حول التقنيات المتطورة إلى التجسس على الجماعات المدنية والمعارضين للحكومة.
يستخدم Emissary Panda الأدوات المتاحة بسهولة مثل بيانات الاعتماد والأدوات والخدمات الأصلية للهدف والبرامج الضارة المخصصة التي تم تطويرها للهجمات. تركز المجموعة على الحفاظ على وجودها على الأنظمة المخترقة لفترة طويلة من الزمن.
لوحظ أن المجموعة تعود إلى الشبكات المخترقة كل ثلاثة أشهر تقريبًا للتحقق من أنه لا يزال بإمكانهم الوصول ، وتحديث الوصول إذا كان قد فقد ، والعثور على المزيد من البيانات التي تهم الهجوم.
يوضح APT27 ما هو قديم هو جديد مرة أخرى
في العام الماضي ، شوهدت المجموعة تنشر إصدارات محدثة من Trojan (RAT) ZxShell للوصول عن بعد. تم تطوير ZxShell لأول مرة في عام 2006 ، مع إصدار الكود المصدري للبرنامج في العام التالي في عام 2007. يحتوي البرنامج الضار على إعادة توجيه حزمة HTran مضمنة وتم توقيعه بشهادة رقمية تابعة لشركة Hangzhou Shunwang Technology Co. شهادة رقمية لشركة Shanghai Hintsoft Co.، Ltd.
من المحتمل أيضًا أن يكون APT27 وراء نسخة معدلة من Gh0st RAT التي تم نشرها في عام 2018. يتوفر أيضًا رمز المصدر لـ Gh0st RAT الأصلي عبر الإنترنت. تم استخدام الإصدار المحدث ضد عدة أنظمة في شبكة مخترقة. العينة التي رصدها الباحثون تتواصل على منفذ TCP 443 من خلال بروتوكول ثنائي مخصص ، مع رؤوس معدلة لإخفاء اتصالات حركة مرور الشبكة بشكل أفضل.
لا تكتفي APT27 باستخدام الأدوات الموجودة على الإنترنت ، فقد طورت أيضًا واستخدمت مجموعتها الخاصة من أدوات الوصول عن بُعد الخاصة. هذه الأدوات ، مثل HyperBro و SysUpdate ، تقوم بجولات منذ عام 2016.
SysUpdate هو نوع من البرامج الضارة متعددة المراحل ولا يستخدمه إلا Emissary Panda. يتم تسليم البرامج الضارة من خلال عدة طرق ، مثل مستندات Word الضارة باستخدام تبادل البيانات الديناميكي (DDE) ، والنشر اليدوي من خلال بيانات الاعتماد المسروقة ، وعمليات إعادة توجيه الويب ، والتسوية الاستراتيجية للويب (SWC).
APT27 نشر البرامج الضارة وانتشارها
بغض النظر عن النشر ، يتم تثبيت أول حمولة من خلال ملف WinRAR للاستخراج الذاتي (SFX) يقوم بتثبيت حمولة المرحلة الأولى لـ SysUpdate. تحقق المرحلة الأولى الثبات على الجهاز قبل تثبيت حمولة المرحلة الثانية ، والمعروفة باسم SysUpdate Main. تتصل البرامج الضارة عبر HTTP وتنزيل التعليمات البرمجية لإدخالها في ملف Svchost.exe.
يوفر SysUpdate Main للمهاجمين مجموعة من إمكانيات الوصول عن بُعد. يسمح RAT للمتسللين بالوصول إلى الملفات والعمليات على الجهاز وإدارتها ، والتفاعل مع الخدمات المختلفة ، وتشغيل قذيفة الأوامر ، والتقاط لقطات شاشة ، وتحميل وتنزيل البرامج الضارة الأخرى حسب الحاجة.
SysUpdate هو برنامج ضار مرن بشكل ملحوظ يمكن توسيعه أو تقليصه حسب الحاجة من خلال ملفات الحمولة الأخرى. وبحسب باحثون أمنيون ، فإن القدرة على التحكم بشكل فعال في وجود الفيروس تسمح للمتسللين بإخفاء قدراتهم الكاملة.
يمكن للجهات الفاعلة في التهديد الاستفادة من أدوات الملكية الخاصة بها أثناء اقتحام معقد. تمنحهم هذه الأدوات مزيدًا من التحكم مع تقليل مخاطر الاكتشاف. يبدو أن الجهات الفاعلة في التهديد يمكنها الوصول إلى الشبكات باستخدام الأدوات المتاحة على نطاق واسع. بمجرد أن يكونوا على النظام ، يمكنهم التحايل على ضوابط الأمان ، والوصول إلى مجموعة أكثر أهمية من الامتيازات والأذونات ، والحفاظ على الوصول إلى الأنظمة عالية القيمة على المدى الطويل. كلما طالت مدة إنفاق APT27 على الشبكة المستهدفة ، زاد الضرر المحتمل الذي يمكن أن يحدثه. في أسوأ السيناريوهات ، قد يكون للمجموعة وجود على النظام لسنوات ، حيث تجمع الكثير من المعلومات الحساسة وتتسبب في جميع أنواع الضرر.
يعد تهديد SysUpdate أحد أكثر أدوات القرصنة المخصصة شيوعًا والتي تم تطويرها بواسطة APT27. هذا هو RAT (حصان طروادة الوصول عن بُعد) الذي يبدو أن APT27 ينشره عبر رسائل البريد الإلكتروني المزيفة المزيفة وهجمات سلسلة التوريد. يعتقد خبراء البرامج الضارة أن المحتالين عبر الإنترنت قد يقومون أيضًا بتثبيت SysUpdate RAT على المضيفين المستهدفين يدويًا ، بشرط أن يكونوا قد تسللوا إليهم مسبقًا. هذا RAT المحدد له بنية معيارية. هذا يعني أن APT27 يمكنه زرع نسخة أساسية من التهديد على الكمبيوتر المخترق ، ثم إضافة المزيد من الميزات إليه ، مما يزيد من تسليح RAT.
يبدو أن APT27 مجموعة قرصنة مرنة للغاية - سواء فيما يتعلق بأساليب الانتشار التي يستخدمونها أو مجموعة متنوعة من الأدوات التي ينشرونها. هذا يجعل APT27 مجموعة مهددة إلى حد ما من المحتالين الإلكترونيين ، الذين لا ينبغي الاستهانة بهم.
