APT27

APT27 (Advanced Persistent Threat) הוא שמה של קבוצת פריצה שמקורה בסין ונוטה ללכת אחרי מטרות בעלות פרופיל גבוה. ה-APT27 ידוע גם תחת כינויים שונים אחרים, כולל השליח פנדה, LuckyMouse ו-BronzeUnion. בין הקמפיינים הידועים ביותר שבוצעו על ידי APT27 הם ההתקפות שלהם נגד קבלני הגנה של ארצות הברית. פעולות פופולריות נוספות של APT27 כוללות קמפיין נגד מספר חברות הפועלות במגזר הפיננסי, וכן מתקפה שהושקה נגד מרכז נתונים הממוקם במרכז אסיה. כלי הפריצה בכלי הנשק של ה-APT27 כוללים איומים שיאפשרו להם לבצע פעולות סיור, לאסוף קבצים רגישים מהמארח הנגוע או להשתלט על המערכת שנפרצה.

חוקרי אבטחת סייבר הבחינו לראשונה בפעילות ה-APT27 בשנת 2010 ומאז עוקבים אחריו מקרוב. מאז שהם זוהו לראשונה, ה-APT27 הצליח להתפשר על יעדים הפועלים במגוון תעשיות מפתח:

• מֶמְשָׁלָה.
• הֲגָנָה.
• טֶכנוֹלוֹגִיָה.
• אֵנֶרְגִיָה.
• ייצור.
• תעופה וחלל.

בין הכלים המנוצלים ביותר בארסנל הפריצה של APT27 הם Gh0st RAT , ZXShell ו HyperBro . עם זאת, נוכלי הסייבר מה-APT27 אינם מסתמכים רק על כלי פריצה מותאמים אישית. ה-APT27, כמו APTs רבים אחרים, גם משתמשים בשירותים לגיטימיים לפעולות המרושעות שלהם, כמו גם בכלי פריצה זמינים לציבור.

APT27 תקפה מגוון יעדים ממגוון סיבות, החל מגניבת נתונים על טכנולוגיות מתקדמות ועד ריגול אחר קבוצות אזרחיות ומתנגדי משטר עבור הממשלה.

השליח פנדה משתמש בכלים זמינים כמו אישורים, כלים ושירותים מקוריים למטרה, ותוכנות זדוניות מותאמות אישית שפותחו עבור התקפות. הקבוצה מתמקדת בשמירה על נוכחות במערכות שנפגעו למשך תקופה ממושכת.

הקבוצה נראתה חוזרת לרשתות שנפגעו בערך כל שלושה חודשים כדי לוודא שעדיין יש לה גישה, לרענן את הגישה אם היא אבדה ולמצוא נתונים נוספים המעניינים את המתקפה.

APT27 מדגים מה ישן זה שוב חדש

בשנה שעברה, הקבוצה נראתה פורסת גרסאות מעודכנות של הגישה מרחוק Trojan (RAT) ZxShell. ZxShell פותחה לראשונה בשנת 2006, כאשר קוד המקור של התוכנית שוחרר בשנה שלאחר מכן בשנת 2007. לתוכנה הזדונית יש ניתוב מחדש של מנות HTran מובנה ונחתמה עם אישור דיגיטלי השייך ל- Hangzhou Shunwang Technology Co., כמו גם אישור דיגיטלי עבור Shanghai Hintsoft Co., Ltd.

APT27 היה כנראה גם מאחורי גרסה שונה של Gh0st RAT שנפרסה בשנת 2018. קוד המקור של Gh0st RAT המקורי זמין גם באינטרנט. הגרסה המעודכנת שימשה כנגד מספר מערכות ברשת שנפרצה. המדגם שאותרו על ידי חוקרים מתקשר ביציאת TCP 443 באמצעות פרוטוקול בינארי מותאם אישית, עם כותרות שהשתנו כדי להסתיר טוב יותר את תקשורת התעבורה ברשת.

לא מסתפקת בשימוש בכלים שנמצאים באינטרנט, APT27 גם פיתחה והשתמשה במגוון משלה של כלי גישה מרחוק קנייניים. כלים אלה, כמו HyperBro ו-SysUpdate, עשו את הסיבוב מאז 2016.

SysUpdate הוא סוג של תוכנה זדונית רב-שלבית ומשמש רק את השליח פנדה. התוכנה הזדונית מועברת באמצעות מספר שיטות, כגון מסמכי Word זדוניים באמצעות חילופי נתונים דינמיים (DDE), פריסה ידנית באמצעות אישורים גנובים, והפניות מחדש לאינטרנט, ו-WC (SWC).

פריסה והפצה של תוכנות זדוניות APT27

לא משנה הפריסה, המטען הראשון מותקן באמצעות קובץ WinRAR לחילוץ עצמי (SFX) שמתקין את מטען השלב הראשון עבור SysUpdate. השלב הראשון משיג התמדה במכונה לפני התקנת מטען השלב השני, המכונה SysUpdate Main. התוכנה הזדונית מתקשרת באמצעות HTTP ומורידת קוד להחדרה לתוך svchost.exe.

SysUpdate Main מספקת לתוקפים מגוון של יכולות גישה מרחוק. ה-RAT מאפשר להאקרים לגשת ולנהל קבצים ותהליכים במכונה, לקיים אינטראקציה עם שירותים שונים, להפעיל מעטפת פקודה, לצלם צילומי מסך ולהעלות ולהוריד תוכנות זדוניות אחרות לפי הצורך.

SysUpdate הוא תוכנה זדונית גמישה להפליא שניתן להרחיב או להקטין לפי הצורך באמצעות קבצי מטען אחרים. היכולת לשלוט ביעילות בנוכחות הנגיף מאפשרת להאקרים להסתיר את מלוא היכולות שלהם, לדברי חוקרי אבטחה.

שחקני האיום יכולים למנף את הכלים הקנייניים שלהם במהלך חדירה מתוחכמת. כלים אלה נותנים להם יותר שליטה בסיכון מופחת לגילוי. נראה ששחקני האיום מקבלים גישה לרשתות באמצעות כלים זמינים נרחבים. ברגע שהם נכנסים למערכת, הם יכולים לעקוף את בקרות האבטחה, לקבל גישה למערכת משמעותית יותר של הרשאות והרשאות, ולשמור על גישה למערכות בעלות ערך גבוה בטווח הארוך. ככל ש-APT27 מבלה זמן רב יותר ברשת יעד, כך הוא יכול לגרום לנזק פוטנציאלי רב יותר. בתרחיש הגרוע ביותר, לקבוצה יכולה להיות נוכחות במערכת במשך שנים, לאסוף מידע רגיש רב ולגרום לכל מיני נזקים.

אחד מכלי הפריצה הפופולריים יותר שנוצרו בהתאמה אישית שפותחו על ידי APT27 הוא איום SysUpdate. זהו RAT (גישה מרחוק טרויאני) שנראה שה-APT27 מפיץ באמצעות דואר זבל מזויף והתקפות שרשרת האספקה. מומחי תוכנות זדוניות מאמינים כי נוכלי הסייבר עשויים להתקין את SysUpdate RAT על מארחים ממוקדים באופן ידני, בתנאי שהם חדרו אליהם בעבר. ל-RAT הספציפי הזה יש מבנה מודולרי. משמעות הדבר היא שה-APT27 יכול לשתול עותק בסיסי של האיום על המחשב שנפגע, ולאחר מכן להוסיף לו תכונות נוספות, תוך נשק נוסף של ה-RAT.

נראה שה-APT27 הוא קבוצת פריצה גמישה מאוד - הן בכל הנוגע לשיטות ההפצה שבהן הם משתמשים והן במגוון הרחב של הכלים שהם פורסים. זה הופך את ה-APT27 לקבוצה מאיימת למדי של נוכלי סייבר, שאין לזלזל בהם.