APT27

Το APT27 (Advanced Persistent Threat) είναι το όνομα μιας ομάδας hacking που προέρχεται από την Κίνα και τείνει να κυνηγά στόχους υψηλού προφίλ. Το APT27 είναι επίσης γνωστό με διάφορα άλλα ψευδώνυμα, συμπεριλαμβανομένων των Emissary Panda, LuckyMouse και BronzeUnion. Μεταξύ των πιο γνωστών εκστρατειών που πραγματοποιήθηκαν από το APT27 είναι οι επιθέσεις τους με στόχο αμυντικούς εργολάβους των Ηνωμένων Πολιτειών. Άλλες δημοφιλείς επιχειρήσεις του APT27 περιλαμβάνουν μια εκστρατεία εναντίον ορισμένων εταιρειών που δραστηριοποιούνται στον χρηματοπιστωτικό τομέα, καθώς και μια επίθεση που εξαπολύθηκε εναντίον ενός κέντρου δεδομένων που βρίσκεται στην Κεντρική Ασία. Τα εργαλεία hacking στον οπλισμό του APT27 περιλαμβάνουν απειλές που θα τους επιτρέψουν να πραγματοποιήσουν αναγνωριστικές επιχειρήσεις, να συλλέξουν ευαίσθητα αρχεία από τον μολυσμένο κεντρικό υπολογιστή ή να καταλάβουν το παραβιασμένο σύστημα.

Οι ερευνητές κυβερνοασφάλειας εντόπισαν για πρώτη φορά τη δραστηριότητα του APT27 το 2010 και έκτοτε το παρακολουθούν στενά. Από τότε που εντοπίστηκαν για πρώτη φορά, το APT27 κατάφερε να συμβιβάσει στόχους που λειτουργούν σε μια ποικιλία βασικών βιομηχανιών:

• Κυβέρνηση.
• Αμυνα.
• Τεχνολογία.
• Ενέργεια.
• Βιομηχανοποίηση.
• Αεροδιαστημική.

Μεταξύ των πιο χρησιμοποιούμενων εργαλείων στο οπλοστάσιο hacking του APT27 είναι τα Gh0st RAT , ZXShell και HyperBro . Ωστόσο, οι απατεώνες του κυβερνοχώρου από το APT27 δεν βασίζονται μόνο σε ειδικά κατασκευασμένα εργαλεία hacking. Το APT27, όπως και πολλά άλλα APT, χρησιμοποιεί επίσης νόμιμες υπηρεσίες για τις κακόβουλες λειτουργίες τους, καθώς και δημόσια διαθέσιμα εργαλεία hacking.

Το APT27 έχει επιτεθεί σε μια σειρά στόχων για διάφορους λόγους, από την κλοπή δεδομένων για τεχνολογίες αιχμής μέχρι την κατασκοπεία ομάδων πολιτών και αντιφρονούντων για λογαριασμό της κυβέρνησης.

Το Emissary Panda χρησιμοποιεί άμεσα διαθέσιμα εργαλεία, όπως διαπιστευτήρια, εργαλεία και υπηρεσίες εγγενείς στον στόχο, καθώς και προσαρμοσμένο κακόβουλο λογισμικό που έχει αναπτυχθεί για επιθέσεις. Ο όμιλος επικεντρώνεται στη διατήρηση της παρουσίας στα παραβιασμένα συστήματα για εκτεταμένη χρονική περίοδο.

Παρατηρήθηκε ότι η ομάδα επιστρέφει σε παραβιασμένα δίκτυα περίπου κάθε τρεις μήνες για να επαληθεύσει ότι εξακολουθούσε να έχει πρόσβαση, να ανανεώνει την πρόσβαση εάν είχε χαθεί και να βρει περισσότερα δεδομένα που ενδιαφέρουν την επίθεση.

Το APT27 δείχνει ότι το παλιό είναι και πάλι νέο

Πέρυσι, η ομάδα εθεάθη να αναπτύσσει ενημερωμένες εκδόσεις του Trojan απομακρυσμένης πρόσβασης (RAT) ZxShell. Το ZxShell αναπτύχθηκε για πρώτη φορά το 2006, με τον πηγαίο κώδικα για το πρόγραμμα να κυκλοφόρησε το επόμενο έτος το 2007. Το κακόβουλο λογισμικό έχει ενσωματωμένη την ανακατεύθυνση πακέτων HTran και έχει υπογραφεί με ψηφιακό πιστοποιητικό που ανήκει στην Hangzhou Shunwang Technology Co., καθώς και ψηφιακό πιστοποιητικό για την Shanghai Hintsoft Co., Ltd.

Το APT27 ήταν επίσης πιθανό πίσω από μια τροποποιημένη έκδοση του Gh0st RAT που αναπτύχθηκε το 2018. Ο πηγαίος κώδικας για το αρχικό Gh0st RAT είναι επίσης διαθέσιμος στο διαδίκτυο. Η ενημερωμένη έκδοση χρησιμοποιήθηκε έναντι πολλών συστημάτων σε ένα παραβιασμένο δίκτυο. Το δείγμα που εντόπισαν οι ερευνητές επικοινωνεί στη θύρα TCP 443 μέσω ενός προσαρμοσμένου δυαδικού πρωτοκόλλου, με τροποποιημένες κεφαλίδες για καλύτερη απόκρυψη των επικοινωνιών κυκλοφορίας δικτύου.

Μη ικανοποιημένη με τη χρήση εργαλείων που βρίσκονται στο διαδίκτυο, η APT27 έχει επίσης αναπτύξει και χρησιμοποιήσει τη δική της σειρά ιδιόκτητων εργαλείων απομακρυσμένης πρόσβασης. Αυτά τα εργαλεία, όπως το HyperBro και το SysUpdate, κάνουν τον γύρο από το 2016.

Το SysUpdate είναι ένα είδος κακόβουλου λογισμικού πολλαπλών σταδίων και χρησιμοποιείται μόνο από την Emissary Panda. Το κακόβουλο λογισμικό παραδίδεται μέσω πολλών μεθόδων, όπως κακόβουλα έγγραφα του Word με χρήση Dynamic Data Exchange (DDE), μη αυτόματη ανάπτυξη μέσω κλεμμένων διαπιστευτηρίων και ανακατευθύνσεις ιστού και στρατηγικός συμβιβασμός ιστού (SWC).

Ανάπτυξη και εξάπλωση κακόβουλου λογισμικού APT27

Ανεξάρτητα από την ανάπτυξη, το πρώτο ωφέλιμο φορτίο εγκαθίσταται μέσω ενός αρχείου WinRAR με αυτόματη εξαγωγή (SFX) που εγκαθιστά το ωφέλιμο φορτίο πρώτου σταδίου για το SysUpdate. Το πρώτο στάδιο επιτυγχάνει επιμονή στο μηχάνημα πριν από την εγκατάσταση του ωφέλιμου φορτίου δεύτερου σταδίου, γνωστό ως SysUpdate Main. Το κακόβουλο λογισμικό επικοινωνεί μέσω HTTP και πραγματοποιεί λήψη κώδικα για εισαγωγή στο svchost.exe.

Το SysUpdate Main παρέχει στους εισβολείς μια σειρά δυνατοτήτων απομακρυσμένης πρόσβασης. Το RAT επιτρέπει στους χάκερ να έχουν πρόσβαση και να διαχειρίζονται αρχεία και διεργασίες στο μηχάνημα, να αλληλεπιδρούν με διαφορετικές υπηρεσίες, να εκκινούν ένα κέλυφος εντολών, να λαμβάνουν στιγμιότυπα οθόνης και να ανεβάζουν και να κατεβάζουν άλλο κακόβουλο λογισμικό όπως απαιτείται.

Το SysUpdate είναι ένα εξαιρετικά ευέλικτο κακόβουλο λογισμικό που μπορεί να επεκταθεί ή να μειωθεί όπως απαιτείται μέσω άλλων αρχείων ωφέλιμου φορτίου. Η ικανότητα αποτελεσματικού ελέγχου της παρουσίας του ιού επιτρέπει στους χάκερ να κρύψουν τις πλήρεις δυνατότητές τους, σύμφωνα με ερευνητές ασφαλείας.

Οι φορείς απειλών μπορούν να αξιοποιήσουν τα ιδιόκτητα εργαλεία τους κατά τη διάρκεια μιας εξελιγμένης εισβολής. Αυτά τα εργαλεία τους δίνουν περισσότερο έλεγχο με μειωμένο κίνδυνο ανίχνευσης. Οι παράγοντες απειλής φαίνεται να αποκτούν πρόσβαση σε δίκτυα χρησιμοποιώντας ευρέως διαθέσιμα εργαλεία. Μόλις μπουν στο σύστημα, μπορούν να παρακάμψουν τους ελέγχους ασφαλείας, να αποκτήσουν πρόσβαση σε ένα πιο σημαντικό σύνολο προνομίων και αδειών και να διατηρήσουν μακροπρόθεσμα την πρόσβαση σε συστήματα υψηλής αξίας. Όσο περισσότερο το APT27 ξοδεύει σε ένα δίκτυο-στόχο, τόσο μεγαλύτερη πιθανή ζημιά μπορεί να προκαλέσει. Σε ένα χειρότερο σενάριο, η ομάδα θα μπορούσε να έχει παρουσία σε ένα σύστημα για χρόνια, συλλέγοντας πολλές ευαίσθητες πληροφορίες και προκαλώντας κάθε είδους ζημιά.

Ένα από τα πιο δημοφιλή προσαρμοσμένα εργαλεία hacking που αναπτύχθηκε από το APT27 είναι η απειλή SysUpdate. Πρόκειται για ένα RAT (Remote Access Trojan) που το APT27 φαίνεται να διαδίδει μέσω ψεύτικων ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου και επιθέσεων στην αλυσίδα εφοδιασμού. Οι ειδικοί σε κακόβουλο λογισμικό πιστεύουν ότι οι απατεώνες του κυβερνοχώρου μπορούν επίσης να εγκαταστήσουν το SysUpdate RAT σε στοχευμένους κεντρικούς υπολογιστές με μη αυτόματο τρόπο, υπό την προϋπόθεση ότι είχαν διεισδύσει σε αυτούς προηγουμένως. Αυτό το συγκεκριμένο RAT έχει μια αρθρωτή δομή. Αυτό σημαίνει ότι το APT27 μπορεί να εγκαταστήσει ένα βασικό αντίγραφο της απειλής στον υπολογιστή που έχει παραβιαστεί και στη συνέχεια να προσθέσει περισσότερες δυνατότητες σε αυτόν, οπλίζοντας περαιτέρω τον RAT.

Το APT27 φαίνεται να είναι μια πολύ ευέλικτη ομάδα hacking – τόσο όσον αφορά τις μεθόδους διάδοσης που χρησιμοποιούν όσο και τη μεγάλη ποικιλία εργαλείων που αναπτύσσουν. Αυτό καθιστά το APT27 μια μάλλον απειλητική ομάδα απατεώνων του κυβερνοχώρου, που δεν πρέπει να υποτιμάται.