APT27

APT27 (Advanced Persistent Threat) نام یک گروه هکری است که از چین سرچشمه می‌گیرد و تمایل دارد به دنبال اهداف با مشخصات بالا برود. APT27 همچنین با نام‌های مستعار مختلف دیگر از جمله Emissary Panda، LuckyMouse و BronzeUnion شناخته می‌شود. یکی از شناخته شده ترین کمپین های انجام شده توسط APT27، حملات آنها به پیمانکاران دفاعی ایالات متحده است. از دیگر عملیات های محبوب APT27 می توان به کمپین علیه تعدادی از شرکت های فعال در بخش مالی و همچنین حمله ای علیه مرکز داده واقع در آسیای مرکزی اشاره کرد. ابزارهای هک در تسلیحات APT27 شامل تهدیداتی است که به آنها امکان انجام عملیات شناسایی، جمع‌آوری فایل‌های حساس از میزبان آلوده یا کنترل سیستم در معرض خطر را می‌دهد.

محققان امنیت سایبری برای اولین بار فعالیت APT27 را در سال 2010 مشاهده کردند و از آن زمان تاکنون به دقت آن را زیر نظر دارند. از زمانی که برای اولین بار مشاهده شدند، APT27 توانسته است اهدافی را که در انواع صنایع کلیدی کار می کنند به خطر بیاندازد:

• دولت.
• دفاع
• فن آوری.
• انرژی.
• ساخت.
• هوافضا.

از جمله ابزارهای مورد استفاده در زرادخانه هک APT27 می توان به Gh0st RAT ، ZXShell و HyperBro اشاره کرد . با این حال، کلاهبرداران سایبری از APT27 تنها به ابزارهای هک سفارشی ساخته شده متکی نیستند. APT27، مانند بسیاری از APT های دیگر، از خدمات قانونی برای عملیات پلید خود و همچنین ابزارهای هک عمومی در دسترس استفاده می کند.

APT27 به دلایل مختلفی به طیف وسیعی از اهداف حمله کرده است، از سرقت اطلاعات در مورد فناوری های پیشرفته گرفته تا جاسوسی از گروه های غیرنظامی و مخالفان برای دولت.

Emissary Panda از ابزارهای در دسترس مانند اعتبارنامه ها، ابزارها و خدمات بومی هدف و بدافزارهای سفارشی توسعه یافته برای حملات استفاده می کند. تمرکز این گروه بر حفظ حضور در سیستم های در معرض خطر برای مدت طولانی است.

مشاهده شد که این گروه تقریباً هر سه ماه یک بار به شبکه‌های در معرض خطر باز می‌گشت تا بررسی کند که هنوز دسترسی دارند، اگر از بین رفته بود دسترسی را تازه‌سازی کند و داده‌های مورد علاقه بیشتری را برای حمله پیدا کند.

APT27 آنچه قدیمی است دوباره جدید است را نشان می دهد

سال گذشته، این گروه در حال استقرار نسخه های به روز شده تروجان دسترسی از راه دور (RAT) ZxShell بود. ZxShell اولین بار در سال 2006 توسعه یافت و کد منبع برنامه در سال بعد در سال 2007 منتشر شد. این بدافزار دارای تغییر مسیر بسته HTran داخلی است و با یک گواهی دیجیتال متعلق به شرکت فناوری Hangzhou Shunwang و همچنین یک امضا شده است. گواهی دیجیتال برای Shanghai Hintsoft Co., Ltd.

APT27 همچنین احتمالاً پشت نسخه اصلاح شده Gh0st RAT است که در سال 2018 مستقر شده بود. کد منبع اصلی Gh0st RAT نیز به صورت آنلاین در دسترس است. نسخه به روز شده در برابر چندین سیستم در یک شبکه در معرض خطر استفاده شد. نمونه ای که توسط محققان مشاهده شده است، از طریق یک پروتکل باینری سفارشی، با هدرهای اصلاح شده برای مخفی کردن بهتر ارتباطات ترافیک شبکه، در پورت TCP 443 ارتباط برقرار می کند.

APT27 که به استفاده از ابزارهای آنلاین راضی نیست، طیف وسیعی از ابزارهای دسترسی از راه دور اختصاصی خود را نیز توسعه داده و به کار گرفته است. این ابزارها مانند HyperBro و SysUpdate از سال 2016 وارد بازار شده اند.

SysUpdate نوعی بدافزار چند مرحله ای است و فقط توسط Emissary Panda استفاده می شود. بدافزار از طریق چندین روش، مانند اسناد Word مخرب با استفاده از تبادل اطلاعات پویا (DDE)، استقرار دستی از طریق اعتبارنامه‌های سرقت شده، و تغییر مسیرهای وب، و به خطر انداختن وب استراتژیک (SWC) تحویل داده می‌شود.

استقرار و گسترش بدافزار APT27

بدون توجه به استقرار، اولین بار از طریق یک فایل WinRAR خود استخراج کننده (SFX) نصب می شود که اولین مرحله را برای SysUpdate نصب می کند. مرحله اول قبل از نصب محموله مرحله دوم که به عنوان SysUpdate Main شناخته می شود، روی دستگاه ماندگار می شود. بدافزار از طریق HTTP ارتباط برقرار می کند و کد را دانلود می کند تا به svchost.exe تزریق کند.

SysUpdate Main طیف وسیعی از قابلیت های دسترسی از راه دور را به مهاجمان ارائه می دهد. RAT به هکرها امکان دسترسی و مدیریت فایل‌ها و فرآیندهای روی دستگاه، تعامل با سرویس‌های مختلف، راه‌اندازی پوسته فرمان، گرفتن اسکرین شات و آپلود و دانلود سایر بدافزارها را در صورت نیاز می‌دهد.

SysUpdate یک بدافزار قابل انعطاف انعطاف پذیر است که می تواند در صورت نیاز از طریق فایل های بار دیگر گسترش یا کاهش یابد. به گفته محققان امنیتی، توانایی کنترل موثر حضور ویروس به هکرها اجازه می دهد تا توانایی های کامل خود را پنهان کنند.

بازیگران تهدید می توانند از ابزارهای اختصاصی خود در طول یک نفوذ پیچیده استفاده کنند. این ابزارها با کاهش خطر تشخیص به آنها کنترل بیشتری می دهد. به نظر می رسد که عوامل تهدید با استفاده از ابزارهای در دسترس به شبکه ها دسترسی پیدا می کنند. هنگامی که آنها در سیستم هستند، می توانند کنترل های امنیتی را دور بزنند، به مجموعه مهمتری از امتیازات و مجوزها دسترسی پیدا کنند و در دراز مدت دسترسی به سیستم های با ارزش بالا را حفظ کنند. هرچه APT27 بیشتر روی یک شبکه هدف هزینه کند، آسیب احتمالی بیشتری می تواند وارد کند. در بدترین سناریو، این گروه می‌تواند سال‌ها در یک سیستم حضور داشته باشد و اطلاعات حساس زیادی را جمع‌آوری کند و انواع آسیب‌ها را ایجاد کند.

یکی از محبوب‌ترین ابزارهای هک سفارشی ایجاد شده توسط APT27، تهدید SysUpdate است. این یک RAT (تروجان دسترسی از راه دور) است که به نظر می رسد APT27 از طریق ایمیل های هرزنامه جعلی و حملات زنجیره تامین منتشر می کند. کارشناسان بدافزار بر این باورند که کلاهبرداران سایبری همچنین ممکن است SysUpdate RAT را به صورت دستی روی میزبان های هدف نصب کنند، مشروط بر اینکه قبلاً به آنها نفوذ کرده باشند. این RAT خاص یک ساختار مدولار دارد. این بدان معناست که APT27 می‌تواند یک نسخه اولیه از تهدید را روی رایانه آسیب‌دیده قرار دهد و سپس ویژگی‌های بیشتری را به آن اضافه کند و RAT را بیشتر مسلح کند.

به نظر می رسد APT27 یک گروه هک بسیار منعطف باشد - هم از نظر روش های انتشار و هم از نظر طیف گسترده ای از ابزارهایی که به کار می برند. این باعث می شود APT27 به یک گروه نسبتاً تهدید کننده از کلاهبرداران سایبری تبدیل شود که نباید آنها را دست کم گرفت.