APT27

Az APT27 (Advanced Persistent Threat) egy Kínából származó hackercsoport neve, amely nagy horderejű célpontokra törekszik. Az APT27 számos más álnéven is ismert, köztük az Emissary Panda, a LuckyMouse és a BronzeUnion. Az APT27 által végrehajtott legismertebb kampányok közé tartozik az Egyesült Államok védelmi vállalkozóit célzó támadások. Az APT27 további népszerű műveletei közé tartozik a pénzügyi szektorban működő számos vállalat elleni kampány, valamint egy Közép-Ázsiában található adatközpont ellen indított támadás. Az APT27 fegyverzetében található hackereszközök között olyan fenyegetések is találhatók, amelyek lehetővé teszik számukra, hogy felderítő műveleteket hajtsanak végre, érzékeny fájlokat gyűjtsenek be a fertőzött gazdagéptől vagy átvegyék a feltört rendszert.

A kiberbiztonsági kutatók először 2010-ben észlelték az APT27 tevékenységét, és azóta is szorosan figyelemmel kísérik. Amióta először észrevették őket, az APT27-nek sikerült kompromisszumot kötnie olyan célpontokkal, amelyek számos kulcsfontosságú iparágban működnek:

• Kormány.
• Védelem.
• Technológia.
• Energia.
• Gyártás.
• Repülőgép.

Az APT27 hackelési arzenáljában a legtöbbet használt eszközök közé tartozik a Gh0st RAT , a ZXShell és a HyperBro . Az APT27 számítógépes csalói azonban nem csak az egyedi tervezésű hackereszközökre hagyatkoznak. Az APT27, mint sok más APT, szintén legitim szolgáltatásokat használ aljas műveleteihez, valamint nyilvánosan elérhető hackereszközöket.

Az APT27 számos célpontot támadott meg különféle okokból, a legmodernebb technológiákkal kapcsolatos adatok ellopásától kezdve a civil csoportok és a másként gondolkodók utáni kémkedésig a kormány számára.

Az Emissary Panda könnyen elérhető eszközöket használ, például hitelesítő adatokat, eszközöket és szolgáltatásokat, valamint a támadásokhoz kifejlesztett egyéni rosszindulatú programokat. A csoport arra összpontosít, hogy hosszabb ideig jelen legyen a kompromittált rendszereken.

Megfigyelték, hogy a csoport nagyjából háromhavonta visszatér a feltört hálózatokhoz, hogy ellenőrizze, van-e még hozzáférése, frissíti a hozzáférést, ha az elveszett, és további, a támadás szempontjából érdekes adatokat találtak.

Az APT27 bemutatja, hogy mi a régi, az újra új

Tavaly a csoport a távoli hozzáférésű trójai (RAT) ZxShell frissített verzióit telepítette. A ZxShellt először 2006-ban fejlesztették ki, a program forráskódja pedig a következő évben, 2007-ben jelent meg. A kártevő beépített HTran csomagátirányítást tartalmaz, és a Hangzhou Shunwang Technology Co.-hoz tartozó digitális tanúsítvánnyal, valamint egy digitális tanúsítvány a Shanghai Hintsoft Co., Ltd. számára.

Valószínűleg az APT27 állt a Gh0st RAT 2018-ban telepített módosított változata mögött is. Az eredeti Gh0st RAT forráskódja szintén elérhető az interneten. A frissített verziót több rendszer ellen használták feltört hálózaton. A kutatók által észlelt minta a 443-as TCP-porton kommunikál egyéni bináris protokollon keresztül, módosított fejlécekkel, hogy jobban elrejtse a hálózati forgalmi kommunikációt.

Az APT27 nem elégszik meg az interneten található eszközök használatával, hanem saját szabadalmaztatott távelérési eszköztárát is kifejlesztette és alkalmazza. Ezek az eszközök, mint például a HyperBro és a SysUpdate, 2016 óta járnak körbe.

A SysUpdate egyfajta többlépcsős rosszindulatú program, és csak az Emissary Panda használja. A rosszindulatú program többféle módon kerül továbbításra, például rosszindulatú Word-dokumentumok segítségével a Dynamic Data Exchange (DDE), kézi telepítéssel lopott hitelesítő adatokon és webes átirányításon keresztül, valamint stratégiai webes kompromittálással (SWC).

APT27 rosszindulatú programok telepítése és terjedése

Függetlenül a telepítéstől, az első hasznos adat egy önkicsomagoló (SFX) WinRAR-fájlon keresztül kerül telepítésre, amely telepíti a SysUpdate első szakaszát. Az első szakasz eléri a kitartást a gépen, mielőtt telepítené a SysUpdate Main néven ismert második szakasz hasznos terhelést. A rosszindulatú program HTTP-n keresztül kommunikál, és kódot tölt le, hogy beillessze az svchost.exe fájlba.

A SysUpdate Main számos távoli hozzáférési lehetőséget kínál a támadóknak. A RAT lehetővé teszi a hackerek számára, hogy hozzáférjenek és kezeljenek fájlokat és folyamatokat a gépen, interakcióba léphessenek különböző szolgáltatásokkal, parancshéjat indítsanak el, képernyőképeket készítsenek, és szükség szerint más rosszindulatú programokat töltsenek fel és töltsenek le.

A SysUpdate egy rendkívül rugalmas rosszindulatú program, amely szükség szerint bővíthető vagy csökkenthető más hasznos fájlokkal. A biztonsági kutatók szerint a vírus jelenlétének hatékony ellenőrzésének képessége lehetővé teszi a hackerek számára, hogy elrejtsék teljes képességeiket.

A fenyegetés szereplői egy kifinomult behatolás során kihasználhatják saját tulajdonú eszközeiket. Ezek az eszközök nagyobb ellenőrzést biztosítanak számukra, csökkentve az észlelési kockázatot. Úgy tűnik, hogy a fenyegető szereplők széles körben elérhető eszközök segítségével jutnak hozzá a hálózatokhoz. Miután a rendszeren vannak, megkerülhetik a biztonsági ellenőrzéseket, hozzáférést kaphatnak a jogosultságok és engedélyek jelentősebb készletéhez, és hosszú távon fenntarthatják a hozzáférést a nagy értékű rendszerekhez. Minél hosszabb ideig költ az APT27 a célhálózatra, annál nagyobb károkat okozhat. A legrosszabb forgatókönyv szerint a csoport évekig jelen lehet egy rendszeren, rengeteg érzékeny információt gyűjtve és mindenféle kárt okozva.

Az APT27 által kifejlesztett egyik legnépszerűbb egyedileg létrehozott hackereszköz a SysUpdate fenyegetés. Ez egy RAT (Remote Access Trojan), amelyet úgy tűnik, hogy az APT27 hamis spam e-mailekkel és ellátási lánc támadásokkal terjeszt. A rosszindulatú programok szakértői úgy vélik, hogy a kiberbűnözők manuálisan is telepíthetik a SysUpdate RAT-ot a megcélzott gazdagépekre, feltéve, hogy korábban beszivárogtak azokra. Ez a speciális RAT moduláris felépítésű. Ez azt jelenti, hogy az APT27 képes elhelyezni a fenyegetés alappéldányát a kompromittált számítógépen, majd további funkciókat adhat hozzá, tovább fegyverezve a RAT-ot.

Az APT27 nagyon rugalmas hackercsoportnak tűnik – mind az általuk használt terjesztési módszerek, mind az általuk alkalmazott eszközök széles választéka tekintetében. Ez az APT27-et a kiberbűnözők meglehetősen fenyegető csoportjává teszi, akiket nem szabad alábecsülni.