APT27

APT27 (Advanced Persistent Threat) on Kiinasta lähtöisin olevan hakkerointiryhmän nimi, joka pyrkii tavoittelemaan korkean profiilin kohteita. APT27 tunnetaan myös useilla muilla aliaksilla, mukaan lukien Emissary Panda, LuckyMouse ja BronzeUnion. APT27:n tunnetuimpia kampanjoita ovat hyökkäykset Yhdysvaltojen puolustusalan alihankkijoihin. Muita suosittuja APT27:n toimintoja ovat kampanja useita finanssisektorilla toimivia yrityksiä vastaan sekä hyökkäys Keski-Aasiassa sijaitsevaa datakeskusta vastaan. APT27:n aseiden hakkerointityökalut sisältävät uhkia, joiden avulla ne voivat suorittaa tiedustelutoimia, kerätä arkaluonteisia tiedostoja tartunnan saaneelta isännältä tai ottaa haltuunsa vaarantuneen järjestelmän.

Kyberturvallisuustutkijat huomasivat APT27:n toiminnan ensimmäisen kerran vuonna 2010 ja ovat seuranneet sitä tiiviisti siitä lähtien. Siitä lähtien, kun APT27 havaittiin ensimmäisen kerran, se on onnistunut tinkimään tavoitteista, jotka toimivat useilla avaintoimialoilla:

• Hallitus.
• Puolustus.
• Tekniikka.
• Energiaa.
• Valmistus.
• Ilmailu.

APT27:n hakkerointiarsenaalin eniten käytettyjä työkaluja ovat Gh0st RAT , ZXShell ja HyperBro . APT27:n kyberrikolliset eivät kuitenkaan luota vain räätälöityihin hakkerointityökaluihin. APT27, kuten monet muutkin APT:t, hyödyntää myös laillisia palveluita ilkeissä toimissaan sekä julkisesti saatavilla olevia hakkerointityökaluja.

APT27 on hyökännyt useisiin kohteisiin useista eri syistä aina huipputeknologian tietojen varastamisesta siviiliryhmien ja toisinajattelijoiden vakoiluihin hallituksen puolesta.

Emissary Panda käyttää helposti saatavilla olevia työkaluja, kuten tunnistetietoja, työkaluja ja palveluita, jotka ovat kotoperäisiä kohteelle, sekä räätälöityjä haittaohjelmia, jotka on kehitetty hyökkäyksiä varten. Ryhmä keskittyy ylläpitämään läsnäoloaan vaarantuneissa järjestelmissä pidemmän aikaa.

Ryhmän havaittiin palaavan vaarantuneisiin verkkoihin noin kolmen kuukauden välein varmistaakseen, että heillä oli edelleen pääsy, päivittävän pääsyn, jos se oli kadonnut, ja löytääkseen lisää hyökkäyksen kannalta kiinnostavia tietoja.

APT27 osoittaa, mikä on vanhaa, on jälleen uutta

Viime vuonna ryhmän nähtiin ottavan käyttöön päivitettyjä versioita etäkäyttötroijalaisesta (RAT) ZxShellistä. ZxShell kehitettiin ensimmäisen kerran vuonna 2006, ja ohjelman lähdekoodi julkaistiin seuraavana vuonna 2007. Haittaohjelmassa on sisäänrakennettu HTran-pakettien uudelleenohjaus, ja se allekirjoitettiin Hangzhou Shunwang Technology Co.:lle kuuluvalla digitaalisella sertifikaatilla sekä digitaalinen sertifikaatti Shanghai Hintsoft Co., Ltd:lle.

APT27 oli myös todennäköisesti vuonna 2018 käyttöön otetun Gh0st RAT:n muunnetun version takana. Alkuperäisen Gh0st RAT:n lähdekoodi on myös saatavilla verkossa. Päivitettyä versiota käytettiin useita järjestelmiä vastaan vaarantuneessa verkossa. Tutkijoiden havaitsema näyte kommunikoi TCP-portissa 443 mukautetun binaariprotokollan kautta, jossa on muokattuja otsikoita verkkoliikenneviestinnän paremmin piilottamiseksi.

APT27 ei tyydy käyttämään verkosta löytyviä työkaluja, vaan on myös kehittänyt ja käyttänyt omia etäkäyttötyökalujaan. Nämä työkalut, kuten HyperBro ja SysUpdate, ovat kiertäneet vuodesta 2016 lähtien.

SysUpdate on eräänlainen monivaiheinen haittaohjelma, ja sitä käyttää vain Emissary Panda. Haittaohjelma toimitetaan useilla tavoilla, kuten haitallisilla Word-asiakirjoilla käyttämällä Dynamic Data Exchange (DDE), manuaalista käyttöönottoa varastettujen valtuustietojen ja web-uudelleenohjauksien kautta sekä strategisen verkkokompromissin (SWC) kautta.

APT27 Haittaohjelmien käyttöönotto ja leviäminen

Käyttöönotosta riippumatta ensimmäinen hyötykuorma asennetaan itsepurkautuvan (SFX) WinRAR-tiedoston kautta, joka asentaa SysUpdaten ensimmäisen vaiheen hyötykuorman. Ensimmäinen vaihe saavuttaa koneen pysyvyyden ennen toisen vaiheen hyötykuorman, joka tunnetaan nimellä SysUpdate Main, asentamista. Haittaohjelma kommunikoi HTTP:n kautta ja lataa koodin ruiskuttaakseen svchost.exe-tiedostoon.

SysUpdate Main tarjoaa hyökkääjille erilaisia etäkäyttöominaisuuksia. RAT:n avulla hakkerit voivat käyttää ja hallita koneella olevia tiedostoja ja prosesseja, olla vuorovaikutuksessa eri palvelujen kanssa, käynnistää komentokuoren, ottaa kuvakaappauksia sekä ladata ja ladata muita haittaohjelmia tarpeen mukaan.

SysUpdate on erittäin joustava haittaohjelma, jota voidaan tarvittaessa laajentaa tai pienentää muiden hyötytiedostojen avulla. Tietoturvatutkijoiden mukaan kyky hallita tehokkaasti viruksen läsnäoloa antaa hakkereille mahdollisuuden piilottaa kaikki kykynsä.

Uhkatoimijat voivat hyödyntää omia työkalujaan hienostuneen tunkeutumisen aikana. Nämä työkalut antavat heille paremman hallinnan ja vähentävät havaitsemisriskiä. Uhkatoimijat näyttävät pääsevän verkkoihin laajasti saatavilla olevien työkalujen avulla. Kun he ovat järjestelmän sisällä, he voivat kiertää suojausvalvontaa, saada pääsyn merkittävämpään joukkoon etuoikeuksia ja käyttöoikeuksia ja ylläpitää pääsyä arvokkaisiin järjestelmiin pitkällä aikavälillä. Mitä kauemmin APT27 viettää kohdeverkkoon, sitä enemmän se voi aiheuttaa vahinkoa. Pahimmassa tapauksessa ryhmä voi olla läsnä järjestelmässä vuosia, kerätä runsaasti arkaluonteista tietoa ja aiheuttaa kaikenlaista vahinkoa.

Yksi suosituimmista räätälöidyistä hakkerointityökaluista, jonka APT27 on kehittänyt, on SysUpdate- uhka. Tämä on RAT (Remote Access Trojan), jota APT27 näyttää levittävän väärennettyjen roskapostien ja toimitusketjuhyökkäysten kautta. Haittaohjelmaasiantuntijat uskovat, että verkkohuijarit voivat myös asentaa SysUpdate RAT:n kohdistetuille koneille manuaalisesti, mikäli he ovat tunkeutuneet niihin aiemmin. Tällä erityisellä RAT:lla on modulaarinen rakenne. Tämä tarkoittaa, että APT27 voi istuttaa peruskopion uhasta vaarantuneeseen tietokoneeseen ja sitten lisätä siihen uusia ominaisuuksia, mikä lisää RAT:n aseita.

APT27 näyttää olevan erittäin joustava hakkerointiryhmä – sekä käyttämiensä levitysmenetelmien että käyttämiensa työkalujen laajan valikoiman suhteen. Tämä tekee APT27:stä melko uhkaavan kyberrikollisten ryhmän, jota ei pidä aliarvioida.