APT27

APT27 (Advanced Persistent Threat) naziv je hakerske grupe koja potječe iz Kine i sklona je lovu na mete visokog profila. APT27 je također poznat pod raznim drugim pseudonima, uključujući Emissary Panda, LuckyMouse i BronzeUnion. Među najpoznatijim kampanjama koje provodi APT27 su njihovi napadi usmjereni na obrambene izvođače Sjedinjenih Država. Ostale popularne operacije APT27 uključuju kampanju protiv brojnih tvrtki koje posluju u financijskom sektoru, kao i napad pokrenut na podatkovni centar smješten u središnjoj Aziji. Alati za hakiranje u oružju APT27 uključuju prijetnje koje bi im omogućile provođenje izviđačkih operacija, prikupljanje osjetljivih datoteka sa zaraženog hosta ili preuzimanje kompromitovanog sustava.

Istraživači kibernetičke sigurnosti prvi su put uočili aktivnost APT27 2010. godine i od tada je pomno prate. Otkako su prvi put uočeni, APT27 je uspio ugroziti ciljeve koji djeluju u različitim ključnim industrijama:

• Vlada.
• Obrana.
• Tehnologija.
• Energija.
• Proizvodnja.
• Zrakoplovstvo.

Među najkorištenijim alatima u hakerskom arsenalu APT27 su Gh0st RAT , ZXShell i HyperBro . Međutim, cyber lopovi iz APT27 ne oslanjaju se samo na prilagođene alate za hakiranje. APT27, kao i mnogi drugi APT-ovi, također koristi legitimne usluge za svoje zlobne operacije, kao i javno dostupne alate za hakiranje.

APT27 je napao niz ciljeva iz raznih razloga, od krađe podataka o najsuvremenijim tehnologijama do špijuniranja civilnih skupina i disidenata za vladu.

Emissary Panda koristi lako dostupne alate kao što su vjerodajnice, alati i usluge koje su izvorne za cilj te prilagođeni zlonamjerni softver razvijen za napade. Grupa se usredotočuje na održavanje prisutnosti na ugroženim sustavima tijekom duljeg vremenskog razdoblja.

Primijećeno je da se grupa vraća na ugrožene mreže otprilike svaka tri mjeseca kako bi provjerila da još uvijek imaju pristup, osvježila pristup ako je izgubljena i pronašla više podataka od interesa za napad.

APT27 demonstrira što je staro opet je novo

Prošle godine je skupina viđena kako implementira ažurirane verzije trojanca za daljinski pristup (RAT) ZxShell. ZxShell je prvi put razvijen 2006., a izvorni kod za program objavljen je sljedeće godine 2007. Zlonamjerni softver ima ugrađeno preusmjeravanje paketa HTran i potpisan je digitalnim certifikatom koji pripada Hangzhou Shunwang Technology Co., kao i digitalni certifikat za Shanghai Hintsoft Co., Ltd.

APT27 je također vjerojatno bio iza modificirane verzije Gh0st RAT-a koja je raspoređena 2018. Izvorni kod za originalni Gh0st RAT također je dostupan na internetu. Ažurirana verzija korištena je protiv nekoliko sustava u ugroženoj mreži. Uzorak koji su uočili istraživači komunicira na TCP portu 443 putem prilagođenog binarnog protokola, s modificiranim zaglavljima kako bi se bolje sakrile komunikacije mrežnog prometa.

Nezadovoljan korištenjem alata koji se nalaze na internetu, APT27 je također razvio i koristio vlastiti niz vlastitih alata za daljinski pristup. Ovi alati, kao što su HyperBro i SysUpdate, dolaze u krug od 2016.

SysUpdate je vrsta zlonamjernog softvera u više faza i koristi ga samo Emissary Panda. Zlonamjerni softver se isporučuje na nekoliko metoda, kao što su zlonamjerni Word dokumenti pomoću dinamičke razmjene podataka (DDE), ručna implementacija putem ukradenih vjerodajnica i web preusmjeravanja te strateški web kompromis (SWC).

APT27 Implementacija i širenje zlonamjernog softvera

Bez obzira na implementaciju, prvi korisni teret se instalira kroz samoraspakirajuću (SFX) WinRAR datoteku koja instalira prvu fazu korisnog opterećenja za SysUpdate. Prva faza postiže postojanost na stroju prije instaliranja drugog stupnja korisnog opterećenja, poznatog kao SysUpdate Main. Zlonamjerni softver komunicira putem HTTP-a i preuzima kod za ubacivanje u svchost.exe.

SysUpdate Main napadačima pruža niz mogućnosti daljinskog pristupa. RAT omogućuje hakerima pristup i upravljanje datotekama i procesima na stroju, interakciju s različitim uslugama, pokretanje naredbene ljuske, snimanje zaslona te učitavanje i preuzimanje drugog zlonamjernog softvera prema potrebi.

SysUpdate je izuzetno fleksibilan zlonamjerni softver koji se prema potrebi može proširiti ili smanjiti putem drugih korisnih datoteka. Mogućnost učinkovite kontrole prisutnosti virusa omogućuje hakerima da sakriju svoje pune mogućnosti, tvrde istraživači sigurnosti.

Akteri prijetnji mogu iskoristiti svoje vlasničke alate tijekom sofisticiranog upada. Ti im alati daju veću kontrolu uz smanjeni rizik od otkrivanja. Čini se da akteri prijetnji dobivaju pristup mrežama koristeći široko dostupne alate. Nakon što su u sustavu, mogu zaobići sigurnosne kontrole, dobiti pristup značajnijem skupu privilegija i dozvola i dugoročno zadržati pristup sustavima visoke vrijednosti. Što duže APT27 troši na ciljnu mrežu, to može napraviti veću potencijalnu štetu. U najgorem slučaju, grupa bi mogla biti prisutna u sustavu godinama, prikupljajući obilje osjetljivih informacija i prouzrokujući razne vrste štete.

Jedan od popularnijih alata za hakiranje kreiranih po narudžbi koje je razvio APT27 je prijetnja SysUpdate. Ovo je RAT (trojanac za daljinski pristup) za koji se čini da se APT27 širi putem lažne neželjene e-pošte i napada na lanac opskrbe. Stručnjaci za zlonamjerni softver vjeruju da cyber lopovi također mogu ručno instalirati SysUpdate RAT na ciljane hostove, pod uvjetom da su ih prethodno infiltrirali. Ovaj specifični RAT ima modularnu strukturu. To znači da APT27 može postaviti osnovnu kopiju prijetnje na kompromitirano računalo, a zatim mu dodati još značajki, dodatno oružujući RAT-a.

Čini se da je APT27 vrlo fleksibilna hakerska grupa - kako u pogledu metoda širenja koje koriste, tako iu pogledu širokog spektra alata koje koriste. To čini APT27 prilično prijetećom grupom cyber lopova, koje ne treba podcijeniti.