APT27

APT27 Descrizione

APT27 (Advanced Persistent Threat) è il nome di un gruppo di hacker che ha origine dalla Cina e tende a inseguire obiettivi di alto profilo. L'APT27 è anche conosciuto con vari altri alias, tra cui Emissary Panda, LuckyMouse e BronzeUnion. Tra le campagne più note condotte dall'APT27 ci sono i loro attacchi contro gli appaltatori della difesa degli Stati Uniti. Altre operazioni popolari dell'APT27 includono una campagna contro numerose società operanti nel settore finanziario, nonché un attacco lanciato contro un data center situato in Asia centrale. Gli strumenti di hacking nelle armi dell'APT27 includono minacce che consentirebbero loro di effettuare operazioni di ricognizione, raccogliere file sensibili dall'host infetto o impossessarsi del sistema compromesso.

I ricercatori della sicurezza informatica hanno individuato per la prima volta l'attività dell'APT27 nel 2010 e da allora lo tengono d'occhio da vicino. Da quando sono stati avvistati per la prima volta, l'APT27 è riuscito a compromettere obiettivi che operano in una varietà di settori chiave:

  • Governo.
  • Difesa.
  • Tecnologia.
  • Energia.
  • Produzione.
  • Aerospaziale.

Tra gli strumenti più utilizzati nell'arsenale di hacking dell'APT27 ci sono Gh0st RAT , ZXShell e HyperBro . Tuttavia, i criminali informatici dell'APT27 non si basano solo su strumenti di hacking personalizzati. L'APT27, come molti altri APT, utilizza anche servizi legittimi per le loro operazioni nefaste, nonché strumenti di hacking pubblicamente disponibili.

L'APT27 ha attaccato una serie di obiettivi per una serie di motivi, dal furto di dati su tecnologie all'avanguardia allo spionaggio di gruppi civili e dissidenti per conto del governo.

Emissary Panda utilizza strumenti prontamente disponibili come credenziali, strumenti e servizi nativi per l'obiettivo e malware personalizzato sviluppato per gli attacchi. Il gruppo si concentra sul mantenimento della presenza sui sistemi compromessi per un periodo di tempo prolungato.

È stato osservato che il gruppo tornava alle reti compromesse all'incirca ogni tre mesi per verificare di avere ancora accesso, aggiornare l'accesso se fosse stato perso e trovare più dati di interesse per l'attacco.

APT27 dimostra ciò che è vecchio è di nuovo nuovo

L'anno scorso, il gruppo è stato visto distribuire versioni aggiornate del Trojan di accesso remoto (RAT) ZxShell. ZxShell è stato sviluppato per la prima volta nel 2006, con il codice sorgente del programma rilasciato l'anno successivo nel 2007. Il malware ha il reindirizzamento dei pacchetti HTran integrato ed è stato firmato con un certificato digitale appartenente a Hangzhou Shunwang Technology Co., oltre a un certificato digitale per Shanghai Hintsoft Co., Ltd.

APT27 era probabilmente anche dietro una versione modificata del Gh0st RAT distribuito nel 2018. Il codice sorgente per il Gh0st RAT originale è disponibile anche online. La versione aggiornata è stata utilizzata contro diversi sistemi in una rete compromessa. Il campione individuato dai ricercatori comunica sulla porta TCP 443 attraverso un protocollo binario personalizzato, con intestazioni modificate per nascondere meglio le comunicazioni del traffico di rete.

Non contento di utilizzare strumenti trovati online, APT27 ha anche sviluppato e utilizzato la propria gamma di strumenti proprietari di accesso remoto. Questi strumenti, come HyperBro e SysUpdate, sono in circolazione dal 2016.

SysUpdate è una specie di malware multifase ed è utilizzato solo da Emissary Panda. Il malware viene distribuito attraverso diversi metodi, come documenti Word dannosi che utilizzano Dynamic Data Exchange (DDE), distribuzione manuale tramite credenziali rubate e reindirizzamenti Web e compromissione Web strategica (SWC).

APT27 Distribuzione e diffusione del malware

Indipendentemente dalla distribuzione, il primo payload viene installato tramite un file WinRAR autoestraente (SFX) che installa il payload della prima fase per SysUpdate. La prima fase ottiene la persistenza sulla macchina prima di installare il payload della seconda fase, noto come SysUpdate Main. Il malware comunica tramite HTTP e scarica il codice da iniettare in svchost.exe.

SysUpdate Main offre agli aggressori una gamma di funzionalità di accesso remoto. Il RAT consente agli hacker di accedere e gestire file e processi sulla macchina, interagire con diversi servizi, avviare una shell dei comandi, acquisire schermate e caricare e scaricare altri malware secondo necessità.

SysUpdate è un malware straordinariamente flessibile che può essere ampliato o ridotto secondo necessità tramite altri file di payload. La capacità di controllare efficacemente la presenza del virus consente agli hacker di nascondere tutte le loro capacità, secondo i ricercatori di sicurezza.

Gli attori delle minacce possono sfruttare i loro strumenti proprietari durante un'intrusione sofisticata. Questi strumenti offrono loro un maggiore controllo con un rischio ridotto di rilevamento. Gli attori delle minacce sembrano ottenere l'accesso alle reti utilizzando strumenti ampiamente disponibili. Una volta che sono nel sistema, possono aggirare i controlli di sicurezza, ottenere l'accesso a una serie più significativa di privilegi e autorizzazioni e mantenere l'accesso a sistemi di alto valore a lungo termine. Più a lungo APT27 trascorre su una rete target, maggiore è il potenziale danno che può fare. Nella peggiore delle ipotesi, il gruppo potrebbe essere presente in un sistema per anni, raccogliendo molte informazioni sensibili e causando ogni tipo di danno.

Uno degli strumenti di hacking personalizzati più popolari sviluppati da APT27 è la minaccia SysUpdate. Questo è un RAT (Remote Access Trojan) che l'APT27 sembra propagare tramite false e-mail di spam e attacchi alla catena di approvvigionamento. Gli esperti di malware ritengono che i criminali informatici possano anche installare manualmente SysUpdate RAT su host presi di mira, a condizione che si siano infiltrati in precedenza. Questo specifico RAT ha una struttura modulare. Ciò significa che l'APT27 può piazzare una copia di base della minaccia sul computer compromesso e quindi aggiungere più funzionalità ad esso, potenziando ulteriormente il RAT.

L'APT27 sembra essere un gruppo di hacker molto flessibile, sia per quanto riguarda i metodi di propagazione che utilizzano che l'ampia varietà di strumenti che implementano. Questo rende l'APT27 un gruppo di cyber criminali piuttosto minaccioso, da non sottovalutare.