APT27

APT27 Description

APT27 (Advanced Persistent Threat) és el nom d'un grup de pirates informàtics originari de la Xina i que tendeix a perseguir objectius d'alt perfil. L'APT27 també és conegut amb altres àlies, com Emissary Panda, LuckyMouse i BronzeUnion. Entre les campanyes més conegudes realitzades per l'APT27 hi ha els seus atacs contra contractistes de defensa dels Estats Units. Altres operacions populars de l'APT27 inclouen una campanya contra diverses empreses que operen al sector financer, així com un atac llançat contra un centre de dades situat a Àsia Central. Les eines de pirateria de l'armament de l'APT27 inclouen amenaces que els permetrien dur a terme operacions de reconeixement, recollir fitxers sensibles de l'amfitrió infectat o fer-se càrrec del sistema compromès.

Els investigadors de ciberseguretat van detectar per primera vegada l'activitat de l'APT27 l'any 2010 i des de llavors l'han vigilat de prop. Des que es van detectar per primera vegada, l'APT27 ha aconseguit comprometre objectius que operen en una varietat d'indústries clau:

  • Govern.
  • Defensa.
  • Tecnologia.
  • Energia.
  • Fabricació.
  • Aeroespacial.

Entre les eines més utilitzades a l'arsenal de pirateria de l'APT27 es troben el Gh0st RAT , ZXShell i HyperBro . Tanmateix, els delinqüents cibernètics de l'APT27 no es basen només en eines de pirateria personalitzades. L'APT27, com molts altres APT, també utilitzen serveis legítims per a les seves operacions nefastes, així com eines de pirateria disponibles públicament.

L'APT27 ha atacat una sèrie d'objectius per diverses raons, des del robatori de dades sobre tecnologies d'avantguarda fins a l'espionatge de grups civils i dissidents per al govern.

L'Emissary Panda utilitza eines fàcilment disponibles, com ara credencials, eines i serveis natius de l'objectiu, i programari maliciós personalitzat desenvolupat per als atacs. El grup se centra a mantenir una presència en els sistemes compromesos durant un període de temps prolongat.

Es va observar que el grup tornava a xarxes compromeses aproximadament cada tres mesos per verificar que encara tenien accés, actualitzar l'accés si s'havia perdut i trobar més dades d'interès per a l'atac.

APT27 demostra que el que és vell és nou una altra vegada

L'any passat, es va veure que el grup desplegava versions actualitzades del troià d'accés remot (RAT) ZxShell. ZxShell es va desenvolupar per primera vegada l'any 2006, amb el codi font del programa llançat l'any següent el 2007. El programari maliciós té la redirecció de paquets HTran incorporada i es va signar amb un certificat digital que pertany a Hangzhou Shunwang Technology Co., així com un certificat digital per a Shanghai Hintsoft Co., Ltd.

APT27 també estava darrere d'una versió modificada del Gh0st RAT desplegada el 2018. El codi font del Gh0st RAT original també està disponible en línia. La versió actualitzada es va utilitzar contra diversos sistemes d'una xarxa compromesa. La mostra detectada pels investigadors es comunica al port TCP 443 mitjançant un protocol binari personalitzat, amb capçaleres modificades per amagar millor les comunicacions de trànsit de xarxa.

No content amb l'ús d'eines que es troben en línia, APT27 també ha desenvolupat i emprat la seva pròpia gamma d'eines d'accés remot pròpies. Aquestes eines, com HyperBro i SysUpdate, han anat circulant des del 2016.

SysUpdate és una mena de programari maliciós multietapa i només l'utilitza Emissary Panda. El programari maliciós es lliura mitjançant diversos mètodes, com ara documents de Word maliciosos mitjançant Dynamic Data Exchange (DDE), desplegament manual mitjançant credencials robades i redireccions web i compromís web estratègic (SWC).

Implementació i propagació de programari maliciós APT27

Independentment del desplegament, la primera càrrega útil s'instal·la mitjançant un fitxer WinRAR autoextractible (SFX) que instal·la la càrrega útil de la primera etapa per a SysUpdate. La primera etapa aconsegueix la persistència a la màquina abans d'instal·lar la càrrega útil de la segona etapa, coneguda com SysUpdate Main. El programari maliciós es comunica mitjançant HTTP i baixa codi per injectar-lo a svchost.exe.

SysUpdate Main ofereix als atacants una sèrie de capacitats d'accés remot. El RAT permet als pirates informàtics accedir i gestionar fitxers i processos a la màquina, interactuar amb diferents serveis, llançar un intèrpret d'ordres, fer captures de pantalla i carregar i descarregar altres programes maliciosos segons sigui necessari.

SysUpdate és un programari maliciós molt flexible que es pot ampliar o reduir segons sigui necessari mitjançant altres fitxers de càrrega útil. Segons els investigadors de seguretat, la capacitat de controlar eficaçment la presència del virus permet als pirates informàtics amagar totes les seves capacitats.

Els actors de l'amenaça poden aprofitar les seves eines patentades durant una intrusió sofisticada. Aquestes eines els donen més control amb un risc reduït de detecció. Els actors de les amenaces semblen obtenir accés a les xarxes mitjançant eines àmpliament disponibles. Un cop estiguin al sistema, poden eludir els controls de seguretat, accedir a un conjunt més important de privilegis i permisos i mantenir l'accés a sistemes d'alt valor a llarg termini. Com més temps passi l'APT27 en una xarxa objectiu, més danys potencials pot fer. En el pitjor dels casos, el grup podria tenir presència en un sistema durant anys, recopilant molta informació sensible i causant tot tipus de danys.

Una de les eines de pirateria creades a mida més populars que va desenvolupar l'APT27 és l'amenaça SysUpdate. Es tracta d'un RAT (troià d'accés remot) que l'APT27 sembla propagar mitjançant correus electrònics de correu brossa falsos i atacs a la cadena de subministrament. Els experts en programari maliciós creuen que els ciberdelinqüents també poden instal·lar el SysUpdate RAT en amfitrions orientats manualment, sempre que s'hagin infiltrat prèviament. Aquest RAT específic té una estructura modular. Això vol dir que l'APT27 pot plantar una còpia bàsica de l'amenaça a l'ordinador compromès i, després, afegir-hi més funcions, armant encara més el RAT.

L'APT27 sembla ser un grup de pirateria molt flexible, tant pel que fa als mètodes de propagació que utilitzen com a la gran varietat d'eines que despleguen. Això fa que l'APT27 sigui un grup de delinqüents cibernètics força amenaçador, que no s'ha de subestimar.