APT27

APT27 (Advanced Persistent Threat) je název hackerské skupiny, která pochází z Číny a má tendenci sledovat vysoce postavené cíle. APT27 je také známý pod různými jinými přezdívkami, včetně Emissary Panda, LuckyMouse a BronzeUnion. Mezi nejznámější kampaně prováděné APT27 patří jejich útoky zaměřené na dodavatele obrany Spojených států. Mezi další oblíbené operace APT27 patří kampaň proti řadě společností působících ve finančním sektoru a také útok proti datovému centru ve Střední Asii. Hackerské nástroje ve výzbroji APT27 zahrnují hrozby, které by jim umožnily provádět průzkumné operace, shromažďovat citlivé soubory z infikovaného hostitele nebo převzít kontrolu nad napadeným systémem.

Výzkumníci v oblasti kybernetické bezpečnosti poprvé zaznamenali aktivitu APT27 v roce 2010 a od té doby ji bedlivě sledují. Od chvíle, kdy byly poprvé spatřeny, se APT27 podařilo ohrozit cíle, které fungují v různých klíčových odvětvích:

• Vláda.
• Obrana.
• Technika.
• Energie.
• Výrobní.
• Aerospace.

Mezi nejpoužívanější nástroje v hackerském arzenálu APT27 patří Gh0st RAT , ZXShell a HyperBro . Kybernetický podvodníci z APT27 se však nespoléhají pouze na na míru vytvořené hackerské nástroje. APT27, stejně jako mnoho jiných APT, také využívá legitimní služby pro své nekalé operace a také veřejně dostupné hackerské nástroje.

APT27 zaútočil na řadu cílů z různých důvodů, od krádeže dat o špičkových technologiích až po špehování civilních skupin a disidentů pro vládu.

Emissary Panda používá snadno dostupné nástroje, jako jsou přihlašovací údaje, nástroje a služby nativní pro daný cíl a vlastní malware vyvinutý pro útoky. Skupina se zaměřuje na udržení přítomnosti na kompromitovaných systémech po delší dobu.

Bylo pozorováno, že se skupina vracela do kompromitovaných sítí zhruba každé tři měsíce, aby si ověřila, že má stále přístup, obnovila přístup, pokud byl ztracen, a našla další data zajímavá pro útok.

APT27 ukazuje, co je staré, je opět nové

V loňském roce skupina nasazovala aktualizované verze trojského koně pro vzdálený přístup (RAT) ZxShell. ZxShell byl poprvé vyvinut v roce 2006 a zdrojový kód programu byl vydán následující rok v roce 2007. Malware má vestavěné přesměrování paketů HTran a byl podepsán digitálním certifikátem společnosti Hangzhou Shunwang Technology Co. digitální certifikát pro Shanghai Hintsoft Co., Ltd.

APT27 také pravděpodobně stál za upravenou verzí Gh0st RAT nasazenou v roce 2018. Zdrojový kód pro původní Gh0st RAT je také dostupný online. Aktualizovaná verze byla použita proti několika systémům v kompromitované síti. Vzorek, který vědci objevili, komunikuje na portu TCP 443 prostřednictvím vlastního binárního protokolu s upravenými záhlavími, aby se lépe skryla komunikace síťového provozu.

APT27, který se nespokojil s používáním nástrojů nalezených online, také vyvinul a použil vlastní řadu proprietárních nástrojů pro vzdálený přístup. Tyto nástroje, jako je HyperBro a SysUpdate, se objevují od roku 2016.

SysUpdate je druh vícefázového malwaru a používá ho pouze Emissary Panda. Malware je šířen několika způsoby, jako jsou například škodlivé dokumenty Word pomocí dynamické výměny dat (DDE), ruční nasazení prostřednictvím odcizených přihlašovacích údajů a přesměrování webu a strategický webový kompromis (SWC).

Nasazení a šíření malwaru APT27

Bez ohledu na nasazení se první datová část nainstaluje prostřednictvím samorozbalovacího (SFX) souboru WinRAR, který nainstaluje první fázi datové části pro SysUpdate. První fáze dosáhne stálosti na počítači před instalací druhé fáze užitečného zatížení, známého jako SysUpdate Main. Malware komunikuje přes HTTP a stahuje kód pro vložení do svchost.exe.

SysUpdate Main poskytuje útočníkům řadu možností vzdáleného přístupu. RAT umožňuje hackerům přistupovat a spravovat soubory a procesy na počítači, komunikovat s různými službami, spouštět příkazový shell, pořizovat snímky obrazovky a nahrávat a stahovat další malware podle potřeby.

SysUpdate je pozoruhodně flexibilní malware, který lze podle potřeby rozšiřovat nebo zmenšovat prostřednictvím dalších souborů užitečného zatížení. Schopnost účinně kontrolovat přítomnost viru umožňuje hackerům skrýt své plné schopnosti, podle bezpečnostních výzkumníků.

Aktéři hrozeb mohou využít své proprietární nástroje během sofistikovaného narušení. Tyto nástroje jim poskytují větší kontrolu při sníženém riziku odhalení. Zdá se, že aktéři hrozeb získávají přístup k sítím pomocí široce dostupných nástrojů. Jakmile jsou v systému, mohou obejít bezpečnostní kontroly, získat přístup k významnějšímu souboru oprávnění a oprávnění a dlouhodobě si udržet přístup k vysoce hodnotným systémům. Čím déle APT27 stráví v cílové síti, tím větší potenciální škody může způsobit. V nejhorším případě by skupina mohla být přítomna v systému roky, shromažďovat spoustu citlivých informací a způsobit nejrůznější škody.

Jedním z nejpopulárnějších hackerských nástrojů vytvořených na míru, který byl vyvinut APT27, je hrozba SysUpdate. Toto je RAT (Remote Access Trojan), o kterém se zdá, že APT27 šíří prostřednictvím falešných spamových e-mailů a útoků na dodavatelský řetězec. Experti na malware se domnívají, že kybernetičtí podvodníci mohou nainstalovat SysUpdate RAT na cílové hostitele ručně, za předpokladu, že do nich již dříve infiltrovali. Tato specifická RAT má modulární strukturu. To znamená, že APT27 může umístit základní kopii hrozby na kompromitovaný počítač a poté k němu přidat další funkce, čímž RAT dále vyzbrojí.

Zdá se, že APT27 je velmi flexibilní hackerská skupina – jak s ohledem na metody šíření, které využívají, tak na širokou škálu nástrojů, které nasazují. To dělá z APT27 poměrně hrozivou skupinu kybernetických podvodníků, které není radno podceňovat.