APT27

APT27 (Advanced Persistent Threat) е името на хакерска група, която произхожда от Китай и има тенденция да преследва високопоставени цели. APT27 също е известен под различни други псевдоними, включително Emissary Panda, LuckyMouse и BronzeUnion. Сред най-известните кампании, провеждани от APT27, са техните атаки, насочени към изпълнители на отбрана на Съединените щати. Други популярни операции на APT27 включват кампания срещу редица компании, работещи във финансовия сектор, както и атака срещу център за данни, разположен в Централна Азия. Хакерските инструменти в оръжията на APT27 включват заплахи, които биха им позволили да извършват разузнавателни операции, да събират чувствителни файлове от заразения хост или да поемат компрометираната система.

Изследователите по киберсигурност за първи път забелязаха дейността на APT27 през 2010 г. и оттогава я следят внимателно. Откакто бяха забелязани за първи път, APT27 успя да компрометира цели, които работят в различни ключови индустрии:

• Правителството.
• отбрана.
• технология.
• Енергия.
• Производство.
• Аерокосмически.

Сред най-използваните инструменти в хакерския арсенал на APT27 са Gh0st RAT , ZXShell и HyperBro . Въпреки това, кибер мошениците от APT27 не разчитат само на персонализирани хакерски инструменти. APT27, подобно на много други APT, също използва легитимни услуги за своите злобни операции, както и публично достъпни хакерски инструменти.

APT27 атакува редица цели по различни причини - от кражба на данни за авангардни технологии до шпиониране на цивилни групи и дисиденти за правителството.

Emissary Panda използва лесно достъпни инструменти като идентификационни данни, инструменти и услуги, които са родни за целта, както и персонализиран зловреден софтуер, разработен за атаки. Групата се фокусира върху поддържането на присъствие в компрометираните системи за продължителен период от време.

Наблюдавано е, че групата се връща към компрометирани мрежи приблизително на всеки три месеца, за да провери дали все още имат достъп, да опресни достъпа, ако е бил загубен, и да намери повече данни, представляващи интерес за атаката.

APT27 демонстрира, че старото е отново ново

Миналата година групата беше видяна да внедрява актуализирани версии на троянски конец за отдалечен достъп (RAT) ZxShell. ZxShell е разработен за първи път през 2006 г., като изходният код за програмата е пуснат на следващата година през 2007 г. Зловредният софтуер има вградено пренасочване на пакети HTran и е подписан с цифров сертификат, принадлежащ на Hangzhou Shunwang Technology Co., както и цифров сертификат за Shanghai Hintsoft Co., Ltd.

APT27 вероятно също стои зад модифицирана версия на Gh0st RAT, внедрена през 2018 г. Изходният код за оригиналния Gh0st RAT също е достъпен онлайн. Актуализираната версия беше използвана срещу няколко системи в компрометирана мрежа. Извадката, забелязана от изследователите, комуникира на TCP порт 443 чрез персонализиран двоичен протокол, с модифицирани заглавки за по-добро скриване на комуникациите за мрежов трафик.

Не се задоволява с използването на инструменти, намерени онлайн, APT27 също разработи и използва своя собствена гама от собствени инструменти за отдалечен достъп. Тези инструменти, като HyperBro и SysUpdate, се разпространяват от 2016 г.

SysUpdate е вид многоетапен зловреден софтуер и се използва само от Emissary Panda. Зловредният софтуер се доставя чрез няколко метода, като злонамерени документи на Word с помощта на динамичен обмен на данни (DDE), ръчно внедряване чрез откраднати идентификационни данни и уеб пренасочвания и стратегически компромис в мрежата (SWC).

APT27 Внедряване и разпространение на злонамерен софтуер

Без значение от внедряването, първият полезен товар се инсталира чрез саморазархивиращ се (SFX) WinRAR файл, който инсталира първия етап на полезен товар за SysUpdate. Първият етап постига постоянство на машината преди инсталиране на полезния товар от втория етап, известен като SysUpdate Main. Зловредният софтуер комуникира през HTTP и изтегля код за инжектиране в svchost.exe.

SysUpdate Main предоставя на нападателите набор от възможности за отдалечен достъп. RAT позволява на хакерите да осъществяват достъп и да управляват файлове и процеси на машината, да взаимодействат с различни услуги, да стартират командна обвивка, да правят екранни снимки и да качват и изтеглят друг зловреден софтуер, ако е необходимо.

SysUpdate е забележително гъвкав злонамерен софтуер, който може да бъде разширен или намален според нуждите чрез други файлове с полезен товар. Способността да се контролира ефективно присъствието на вируса позволява на хакерите да скрият пълните си възможности, според изследователи по сигурността.

Заплахите могат да използват собствените си инструменти по време на сложно проникване. Тези инструменти им дават повече контрол при намален риск от откриване. Изглежда, че участниците в заплахата получават достъп до мрежи, използвайки широко достъпни инструменти. След като са в системата, те могат да заобикалят контролите за сигурност, да получат достъп до по-значим набор от привилегии и разрешения и да поддържат достъп до системи с висока стойност в дългосрочен план. Колкото по-дълго APT27 харчи за целева мрежа, толкова повече потенциални щети може да нанесе. В най-лошия сценарий групата може да присъства в системата в продължение на години, събирайки много чувствителна информация и причинявайки всякакви щети.

Един от най-популярните хакерски инструменти, създадени по поръчка, разработен от APT27, е заплахата SysUpdate. Това е RAT (троянец за отдалечен достъп), който APT27 изглежда разпространява чрез фалшиви имейли за спам и атаки във веригата за доставки. Експертите по злонамерен софтуер смятат, че кибер мошениците също могат ръчно да инсталират SysUpdate RAT на целевите хостове, при условие че са проникнали в тях преди това. Този специфичен RAT има модулна структура. Това означава, че APT27 може да постави основно копие на заплахата на компрометирания компютър и след това да добави още функции към него, като допълнително въоръжи RAT.

APT27 изглежда е много гъвкава хакерска група - както по отношение на методите за разпространение, които използват, така и по отношение на голямото разнообразие от инструменти, които внедряват. Това прави APT27 доста заплашителна група от кибер мошеници, които не бива да се подценяват.