APT27

APT27

APT27 (Advanced Persistent Threat) on Hiinast pärit häkkimisrühma nimi, mis kipub otsima kõrgetasemelisi sihtmärke. APT27 on tuntud ka erinevate varjunimede all, sealhulgas Emissary Panda, LuckyMouse ja BronzeUnion. APT27 kõige tuntumate kampaaniate hulgas on nende rünnakud Ameerika Ühendriikide kaitsetöövõtjate vastu. Teised populaarsed APT27 operatsioonid hõlmavad kampaaniat mitmete finantssektoris tegutsevate ettevõtete vastu, aga ka Kesk-Aasias asuva andmekeskuse vastu algatatud rünnakut. Häkkimistööriistad APT27 relvastuses sisaldavad ohte, mis võimaldavad neil läbi viia luureoperatsioone, koguda nakatunud hostilt tundlikke faile või võtta üle ohustatud süsteem.

Küberjulgeoleku teadlased märkasid APT27 tegevust esmakordselt 2010. aastal ja on sellest ajast saadik sellel tähelepanelikult silma peal hoidnud. Alates nende esmakordsest märkamisest on APT27 suutnud ületada sihtmärgid, mis tegutsevad erinevates võtmevaldkondades:

  • valitsus.
  • Kaitse.
  • Tehnoloogia.
  • Energia.
  • Tootmine.
  • Lennundus.

APT27 häkkimisarsenalis on enim kasutatud tööriistad Gh0st RAT , ZXShell ja HyperBro . Kuid APT27 küberkelmid ei tugine ainult eritellimusel valmistatud häkkimistööriistadele. APT27, nagu paljud teised APT-d, kasutavad oma alatute toimingute jaoks ka seaduslikke teenuseid, aga ka avalikult kättesaadavaid häkkimistööriistu.

APT27 on rünnanud mitmesuguseid sihtmärke erinevatel põhjustel, alates tipptehnoloogia andmete varastamisest kuni tsiviilrühmade ja teisitimõtlejate järele luuramiseni valitsuse jaoks.

Emissary Panda kasutab hõlpsasti kättesaadavaid tööriistu, nagu sihtmärgi mandaadid, tööriistad ja teenused, ning rünnakute jaoks välja töötatud kohandatud pahavara. Grupp keskendub ohustatud süsteemides kohaloleku säilitamisele pikema aja jooksul.

Täheldati, et rühm naaseb ohustatud võrkudesse ligikaudu iga kolme kuu tagant, et kontrollida, kas neil on endiselt juurdepääs, värskendada juurdepääsu, kui see oli kadunud, ja leida rohkem rünnaku jaoks huvipakkuvaid andmeid.

APT27 näitab, et mis on vana, on jälle uus

Eelmisel aastal nähti gruppi juurutamas kaugjuurdepääsu Trooja (RAT) ZxShelli uuendatud versioone. ZxShell töötati esmakordselt välja 2006. aastal, programmi lähtekood avaldati järgmisel aastal 2007. Pahavaral on sisseehitatud HTran-pakettide ümbersuunamine ja see allkirjastati ettevõttele Hangzhou Shunwang Technology Co. kuuluva digitaalse sertifikaadiga, samuti digitaalne sertifikaat Shanghai Hintsoft Co., Ltd.

APT27 oli tõenäoliselt ka 2018. aastal kasutusele võetud Gh0st RAT muudetud versiooni taga. Algse Gh0st RAT lähtekood on saadaval ka veebis. Värskendatud versiooni kasutati mitme ohustatud võrgu süsteemi vastu. Teadlaste leitud proov suhtleb TCP-pordis 443 kohandatud binaarprotokolli kaudu, mille päised on võrguliiklusside paremaks peitmiseks muudetud.

APT27 ei ole rahul võrgus leiduvate tööriistade kasutamisega, vaid on välja töötanud ja kasutanud ka oma patenteeritud kaugjuurdepääsu tööriistu. Need tööriistad, nagu HyperBro ja SysUpdate, on teinud ringe alates 2016. aastast.

SysUpdate on omamoodi mitmeastmeline pahavara ja seda kasutab ainult Emissary Panda. Pahavara tarnitakse mitme meetodi abil, näiteks pahatahtlikud Wordi dokumendid, kasutades dünaamilist andmevahetust (DDE), käsitsi juurutamine varastatud mandaatide ja veebi ümbersuunamiste kaudu ning strateegiline veebikompromiss (SWC).

APT27 pahavara juurutamine ja levitamine

Olenemata juurutusest installitakse esimene kasulik koorem isepahanduva (SFX) WinRAR-faili kaudu, mis installib SysUpdate'i esimese etapi kasuliku koormuse. Esimeses etapis saavutatakse masinas püsivus enne teise etapi kasuliku koormuse, tuntud kui SysUpdate Main, installimist. Pahavara suhtleb HTTP kaudu ja laadib alla koodi, et sisestada faili svchost.exe.

SysUpdate Main pakub ründajatele mitmesuguseid kaugjuurdepääsu võimalusi. RAT võimaldab häkkeritel pääseda juurde ja hallata masinas olevaid faile ja protsesse, suhelda erinevate teenustega, käivitada käsukesta, teha ekraanipilte ning vajadusel üles laadida ja alla laadida muud pahavara.

SysUpdate on märkimisväärselt paindlik pahavara, mida saab vastavalt vajadusele laiendada või vähendada muude kasulike failide kaudu. Turvauurijate sõnul võimaldab häkkeritel viiruse olemasolu tõhusalt kontrollida.

Keerulise sissetungi ajal võivad ohus osalejad kasutada oma patenteeritud tööriistu. Need tööriistad annavad neile parema kontrolli ja vähendavad avastamisriski. Näib, et ohus osalejad saavad võrkudele juurdepääsu laialdaselt kättesaadavate tööriistade abil. Kui nad on süsteemis, saavad nad turvakontrollidest mööda hiilida, pääseda juurde suuremale hulgale privileegidele ja õigustele ning säilitada pikas perspektiivis juurdepääsu väärtuslikele süsteemidele. Mida kauem APT27 sihtvõrgule kulutab, seda rohkem potentsiaalset kahju see võib teha. Halvima stsenaariumi korral võib rühmitus olla süsteemis aastaid, kogudes palju tundlikku teavet ja põhjustades igasugust kahju.

Üks populaarsemaid kohandatud häkkimistööriistu, mille APT27 töötas välja, on SysUpdate'i oht. See on RAT (Remote Access Trooja), mida APT27 näib levitavat võltsitud rämpsposti ja tarneahela rünnakute kaudu. Pahavaraeksperdid usuvad, et küberkelmid võivad installida SysUpdate RAT-i sihitud hostidele ka käsitsi, eeldusel, et nad on neisse varem imbunud. Sellel spetsiifilisel RAT-il on modulaarne struktuur. See tähendab, et APT27 saab ohustatud arvutisse installida ohu põhikoopia ja seejärel lisada sellele täiendavaid funktsioone, muutes RAT-i veelgi relvastavaks.

APT27 näib olevat väga paindlik häkkimisrühm – nii nende kasutatavate levitamismeetodite kui ka paljude kasutatavate tööriistade osas. See muudab APT27 üsna ähvardavaks küberkelmide rühmaks, keda ei tohiks alahinnata.

Loading...