APT27

APT27 (Advanced Persistent Threat) er navnet på en hackergruppe, der stammer fra Kina og har en tendens til at gå efter højprofilerede mål. APT27 er også kendt under forskellige andre aliaser, inklusive Emissary Panda, LuckyMouse og BronzeUnion. Blandt de mest kendte kampagner udført af APT27 er deres angreb rettet mod USA's forsvarsentreprenører. Andre populære operationer fra APT27 inkluderer en kampagne mod en række virksomheder, der opererer i den finansielle sektor, samt et angreb lanceret mod et datacenter i Centralasien. Hackingværktøjerne i APT27's våben inkluderer trusler, der ville give dem mulighed for at udføre rekognosceringsoperationer, indsamle følsomme filer fra den inficerede vært eller overtage det kompromitterede system.

Cybersikkerhedsforskere opdagede først aktiviteten af APT27 i 2010 og har holdt et vågent øje med den lige siden. Siden de først blev opdaget, har APT27 formået at kompromittere mål, der opererer i en række nøglebrancher:

• Regering.
• Forsvar.
• Teknologi.
• Energi.
• Fremstilling.
• Rumfart.

Blandt de mest brugte værktøjer i APT27's hacking-arsenal er Gh0st RAT , ZXShell og HyperBro . Cyberskurkene fra APT27 er dog ikke kun afhængige af specialbyggede hackingværktøjer. APT27, ligesom mange andre APT'er, bruger også legitime tjenester til deres uhyggelige operationer, såvel som offentligt tilgængelige hackingværktøjer.

APT27 har angrebet en række mål af forskellige årsager, lige fra at stjæle data om avancerede teknologier til at spionere på civile grupper og dissidenter for regeringen.

Emissary Panda bruger let tilgængelige værktøjer såsom legitimationsoplysninger, værktøjer og tjenester, der er hjemmehørende i målet, og tilpasset malware udviklet til angreb. Gruppen fokuserer på at opretholde en tilstedeværelse på de kompromitterede systemer i en længere periode.

Gruppen blev observeret at vende tilbage til kompromitterede netværk omtrent hver tredje måned for at bekræfte, at de stadig havde adgang, opdatere adgangen, hvis den var gået tabt, og finde flere data af interesse for angrebet.

APT27 Demonstrerer, hvad der er gammelt er nyt igen

Sidste år blev gruppen set implementere opdaterede versioner af fjernadgang Trojan (RAT) ZxShell. ZxShell blev først udviklet i 2006, med kildekoden til programmet udgivet året efter i 2007. Malwaren har HTran-pakkeomdirigering indbygget og blev signeret med et digitalt certifikat tilhørende Hangzhou Shunwang Technology Co., samt en digitalt certifikat for Shanghai Hintsoft Co., Ltd.

APT27 stod sandsynligvis også bag en modificeret version af Gh0st RAT implementeret i 2018. Kildekoden til den originale Gh0st RAT er også tilgængelig online. Den opdaterede version blev brugt mod flere systemer i et kompromitteret netværk. Prøven opdaget af forskere kommunikerer på TCP-port 443 gennem en brugerdefineret binær protokol med modificerede overskrifter for bedre at skjule netværkstrafikkommunikation.

Ikke tilfreds med at bruge værktøjer fundet online, APT27 har også udviklet og brugt sit eget udvalg af proprietære fjernadgangsværktøjer. Disse værktøjer, såsom HyperBro og SysUpdate, har kørt rundt siden 2016.

SysUpdate er en slags multi-trins malware og bruges kun af udsendte Panda. Malwaren leveres gennem flere metoder, såsom ondsindede Word-dokumenter ved hjælp af Dynamic Data Exchange (DDE), manuel implementering gennem stjålne legitimationsoplysninger og web-omdirigeringer og strategisk web-kompromis (SWC).

APT27 Malware-implementering og spredning

Uanset udrulningen installeres den første nyttelast gennem en selvudpakkende (SFX) WinRAR-fil, der installerer den første nyttelast til SysUpdate. Det første trin opnår vedholdenhed på maskinen før installation af andet trins nyttelast, kendt som SysUpdate Main. Malwaren kommunikerer over HTTP og downloader kode for at injicere i svchost.exe.

SysUpdate Main giver angribere en række fjernadgangsfunktioner. RAT giver hackere mulighed for at få adgang til og administrere filer og processer på maskinen, interagere med forskellige tjenester, starte en kommandoskal, tage skærmbilleder og uploade og downloade anden malware efter behov.

SysUpdate er en bemærkelsesværdig fleksibel malware, der kan udvides eller formindskes efter behov gennem andre nyttelastfiler. Evnen til effektivt at kontrollere tilstedeværelsen af virussen giver hackerne mulighed for at skjule deres fulde muligheder, ifølge sikkerhedsforskere.

Trusselsaktørerne kan udnytte deres proprietære værktøjer under en sofistikeret indtrængen. Disse værktøjer giver dem mere kontrol med en reduceret risiko for opdagelse. Trusselsaktørerne ser ud til at få adgang til netværk ved hjælp af bredt tilgængelige værktøjer. Når de først er på systemet, kan de omgå sikkerhedskontrol, få adgang til et mere betydeligt sæt privilegier og tilladelser og bevare adgangen til systemer af høj værdi på lang sigt. Jo længere tid APT27 bruger på et målnetværk, jo mere potentiel skade kan den gøre. I værste fald kunne gruppen have en tilstedeværelse på et system i årevis, indsamle masser af følsomme oplysninger og forårsage alle former for skade.

Et af de mere populære specialfremstillede hackingværktøjer, der blev udviklet af APT27, er SysUpdate- truslen. Dette er en RAT (Remote Access Trojan), som APT27 ser ud til at udbrede via falske spam-e-mails og forsyningskædeangreb. Malware-eksperter mener, at cyberskurkene også kan installere SysUpdate RAT på målrettede værter manuelt, forudsat at de havde infiltreret dem tidligere. Denne specifikke RAT har en modulær struktur. Dette betyder, at APT27 kan plante en grundlæggende kopi af truslen på den kompromitterede computer, og derefter tilføje flere funktioner til den, hvilket bevæbner RAT yderligere.

APT27 ser ud til at være en meget fleksibel hackergruppe – både med hensyn til de udbredelsesmetoder, de bruger, og den brede vifte af værktøjer, de implementerer. Dette gør APT27 til en ret truende gruppe af cyberskurke, som ikke skal undervurderes.