एपीटी27

APT27 (एडवांस पर्सिस्टेंट थ्रेट) एक हैकिंग समूह का नाम है जो चीन से उत्पन्न होता है और हाई-प्रोफाइल लक्ष्यों के पीछे जाता है। एपीटी 27 को कई अन्य उपनामों के तहत भी जाना जाता है, जिसमें एमिसरी पांडा, लकीमाउस और कांस्य यूनियन शामिल हैं। APT27 द्वारा किए गए सबसे प्रसिद्ध अभियानों में से उनके हमले संयुक्त राज्य के रक्षा ठेकेदारों को लक्षित करते हैं। APT27 द्वारा अन्य लोकप्रिय कार्यों में वित्तीय क्षेत्र में काम करने वाली कई कंपनियों के खिलाफ अभियान, साथ ही मध्य एशिया में स्थित एक डेटा सेंटर के खिलाफ एक हमला शामिल है। APT27 के हथियार में हैकिंग टूल में ऐसे खतरे शामिल हैं जो उन्हें टोही संचालन करने, संक्रमित मेजबान से संवेदनशील फाइलें एकत्र करने या समझौता प्रणाली को संभालने की अनुमति देते हैं।

साइबर सुरक्षा शोधकर्ताओं ने पहली बार 2010 में APT27 की गतिविधि को देखा और तब से इस पर कड़ी नजर रख रहे हैं। चूंकि उन्हें पहली बार देखा गया था, एपीटी 27 विभिन्न प्रमुख उद्योगों में काम करने वाले लक्ष्यों से समझौता करने में कामयाब रहा है:

• सरकार।
• रक्षा।
• प्रौद्योगिकी।
• ऊर्जा।
• उत्पादन।
• एयरोस्पेस।

APT27 की हैकिंग शस्त्रागार में सबसे उपयोग किया उपकरणों में से हैं Gh0st RAT , ZXShell और HyperBro । हालाँकि, APT27 के साइबर बदमाश केवल कस्टम-निर्मित हैकिंग टूल पर निर्भर नहीं हैं। APT27, कई अन्य APTs की तरह, अपने नापाक कार्यों के लिए वैध सेवाओं का उपयोग करता है, साथ ही सार्वजनिक रूप से उपलब्ध हैकिंग टूल भी।

APT27 ने विभिन्न कारणों से कई लक्ष्यों पर हमला किया है, जिसमें अत्याधुनिक तकनीकों पर डेटा चोरी करने से लेकर सरकार के लिए नागरिक समूहों और असंतुष्टों की जासूसी करना शामिल है।

एमिसरी पांडा आसानी से उपलब्ध टूल का उपयोग करता है जैसे कि क्रेडेंशियल, टूल और लक्ष्य के लिए मूल सेवाएं, और हमलों के लिए विकसित कस्टम मैलवेयर। समूह समय की विस्तारित अवधि के लिए समझौता किए गए सिस्टम पर उपस्थिति बनाए रखने पर ध्यान केंद्रित करता है।

समूह को लगभग हर तीन महीने में समझौता किए गए नेटवर्क पर लौटने के लिए देखा गया था ताकि यह सत्यापित किया जा सके कि उनके पास अभी भी पहुंच है, यदि यह खो गया है तो पहुंच को ताज़ा करें, और हमले के लिए रुचि के अधिक डेटा खोजें।

APT27 दर्शाता है कि जो पुराना है वह फिर से नया है

पिछले साल, समूह को रिमोट एक्सेस ट्रोजन (आरएटी) ZxShell के अद्यतन संस्करणों को तैनात करते देखा गया था। ZxShell को पहली बार 2006 में विकसित किया गया था, अगले वर्ष 2007 में जारी किए गए कार्यक्रम के लिए स्रोत कोड के साथ। मैलवेयर में HTran पैकेट पुनर्निर्देशन अंतर्निहित है और इसे हांग्जो शुनवांग टेक्नोलॉजी कंपनी से संबंधित एक डिजिटल प्रमाणपत्र के साथ हस्ताक्षरित किया गया था, साथ ही एक शंघाई हिंटसॉफ्ट कं, लिमिटेड के लिए डिजिटल प्रमाणपत्र।

2018 में तैनात Gh0st RAT के संशोधित संस्करण के पीछे APT27 की भी संभावना थी। मूल Gh0st RAT का स्रोत कोड भी ऑनलाइन उपलब्ध है। अद्यतन संस्करण का उपयोग एक समझौता किए गए नेटवर्क में कई प्रणालियों के विरुद्ध किया गया था। शोधकर्ताओं द्वारा देखा गया नमूना एक कस्टम बाइनरी प्रोटोकॉल के माध्यम से टीसीपी पोर्ट 443 पर संचार करता है, जिसमें नेटवर्क ट्रैफ़िक संचार को बेहतर ढंग से छिपाने के लिए संशोधित हेडर होते हैं।

ऑनलाइन पाए जाने वाले टूल का उपयोग करने से संतुष्ट नहीं, APT27 ने मालिकाना रिमोट एक्सेस टूल की अपनी रेंज भी विकसित और नियोजित की है। ये उपकरण, जैसे कि HyperBro और SysUpdate, 2016 से चक्कर लगा रहे हैं।

SysUpdate एक प्रकार का मल्टी-स्टेज मैलवेयर है और इसका उपयोग केवल एमिसरी पांडा द्वारा किया जाता है। मैलवेयर को कई तरीकों से वितरित किया जाता है, जैसे डायनामिक डेटा एक्सचेंज (DDE) का उपयोग करते हुए दुर्भावनापूर्ण Word दस्तावेज़, चोरी किए गए क्रेडेंशियल के माध्यम से मैन्युअल परिनियोजन, और वेब रीडायरेक्ट, और रणनीतिक वेब समझौता (SWC)।

APT27 मैलवेयर परिनियोजन और प्रसार

परिनियोजन से कोई फर्क नहीं पड़ता, पहला पेलोड एक सेल्फ-एक्सट्रैक्टिंग (SFX) WinRAR फ़ाइल के माध्यम से स्थापित किया जाता है जो SysUpdate के लिए पहला चरण पेलोड स्थापित करता है। पहला चरण दूसरे चरण के पेलोड को स्थापित करने से पहले मशीन पर दृढ़ता प्राप्त करता है, जिसे SysUpdate Main के रूप में जाना जाता है। मैलवेयर HTTP पर संचार करता है और svchost.exe में इंजेक्ट करने के लिए कोड डाउनलोड करता है।

SysUpdate Main हमलावरों को रिमोट एक्सेस क्षमताओं की एक श्रृंखला प्रदान करता है। आरएटी हैकर्स को मशीन पर फाइलों और प्रक्रियाओं तक पहुंचने और प्रबंधित करने, विभिन्न सेवाओं के साथ बातचीत करने, कमांड शेल लॉन्च करने, स्क्रीनशॉट लेने और आवश्यकतानुसार अन्य मैलवेयर अपलोड और डाउनलोड करने की अनुमति देता है।

SysUpdate उल्लेखनीय रूप से लचीला मैलवेयर है जिसे अन्य पेलोड फ़ाइलों के माध्यम से आवश्यकतानुसार बढ़ाया या घटाया जा सकता है। सुरक्षा शोधकर्ताओं के अनुसार, वायरस की उपस्थिति को प्रभावी ढंग से नियंत्रित करने की क्षमता हैकर्स को अपनी पूरी क्षमताओं को छिपाने की अनुमति देती है।

परिष्कृत घुसपैठ के दौरान खतरे वाले अभिनेता अपने मालिकाना उपकरणों का लाभ उठा सकते हैं। ये उपकरण उन्हें पता लगाने के कम जोखिम पर अधिक नियंत्रण प्रदान करते हैं। ऐसा प्रतीत होता है कि धमकी देने वाले अभिनेता व्यापक रूप से उपलब्ध टूल का उपयोग करके नेटवर्क तक पहुंच प्राप्त कर रहे हैं। एक बार जब वे सिस्टम पर होते हैं, तो वे सुरक्षा नियंत्रणों को दरकिनार कर सकते हैं, विशेषाधिकारों और अनुमतियों के अधिक महत्वपूर्ण सेट तक पहुंच प्राप्त कर सकते हैं, और लंबी अवधि में उच्च-मूल्य वाले सिस्टम तक पहुंच बनाए रख सकते हैं। APT27 एक लक्ष्य नेटवर्क पर जितना अधिक समय बिताता है, वह उतना ही अधिक संभावित नुकसान कर सकता है। सबसे खराब स्थिति में, समूह वर्षों तक एक सिस्टम पर मौजूद रह सकता है, बहुत सारी संवेदनशील जानकारी एकत्र कर सकता है और सभी प्रकार की क्षति का कारण बन सकता है।

APT27 द्वारा विकसित किए गए अधिक लोकप्रिय कस्टम-निर्मित हैकिंग टूल में से एक SysUpdate खतरा है। यह एक RAT (रिमोट एक्सेस ट्रोजन) है जिसे APT27 नकली स्पैम ईमेल और आपूर्ति-श्रृंखला हमलों के माध्यम से प्रचारित करता प्रतीत होता है। मैलवेयर विशेषज्ञों का मानना है कि साइबर बदमाश भी लक्षित मेजबानों पर मैन्युअल रूप से SysUpdate RAT स्थापित कर सकते हैं, बशर्ते कि उन्होंने पहले घुसपैठ की हो। इस विशिष्ट RAT में एक मॉड्यूलर संरचना है। इसका मतलब यह है कि APT27 समझौता किए गए कंप्यूटर पर खतरे की एक मूल प्रति लगा सकता है, और फिर इसमें और अधिक सुविधाएँ जोड़ सकता है, RAT को और अधिक हथियार बना सकता है।

APT27 एक बहुत ही लचीला हैकिंग समूह प्रतीत होता है - दोनों उनके द्वारा उपयोग की जाने वाली प्रसार विधियों और उनके द्वारा तैनात किए जाने वाले विभिन्न प्रकार के उपकरणों के संबंध में। यह APT27 को साइबर बदमाशों का एक खतरनाक समूह बनाता है, जिन्हें कम करके नहीं आंका जाना चाहिए।