APT27

APT27 Description

APT27 (Advanced Persistent Threat) គឺជាឈ្មោះក្រុម hacking ដែលមានប្រភពមកពីប្រទេសចិន ហើយមានទំនោរទៅរកគោលដៅដែលមានកេរ្តិ៍ឈ្មោះខ្ពស់។ APT27 ក៏ត្រូវបានគេស្គាល់ក្រោមឈ្មោះក្លែងក្លាយផ្សេងទៀត រួមទាំង Emissary Panda, LuckyMouse និង BronzeUnion ។ ក្នុងចំណោមយុទ្ធនាការដ៏ល្បីបំផុតដែលធ្វើឡើងដោយ APT27 គឺការវាយប្រហាររបស់ពួកគេសំដៅទៅលើអ្នកម៉ៅការការពារជាតិរបស់សហរដ្ឋអាមេរិក។ ប្រតិបត្តិការដ៏ពេញនិយមផ្សេងទៀតដោយ APT27 រួមមានយុទ្ធនាការប្រឆាំងនឹងក្រុមហ៊ុនមួយចំនួនដែលកំពុងប្រតិបត្តិការក្នុងវិស័យហិរញ្ញវត្ថុ ក៏ដូចជាការវាយប្រហារដែលបានធ្វើឡើងប្រឆាំងនឹងមជ្ឈមណ្ឌលទិន្នន័យដែលមានទីតាំងនៅអាស៊ីកណ្តាល។ ឧបករណ៍លួចចូលនៅក្នុងសព្វាវុធរបស់ APT27 រួមមានការគំរាមកំហែងដែលអនុញ្ញាតឱ្យពួកគេធ្វើប្រតិបត្តិការឈ្លបយកការណ៍ ប្រមូលឯកសាររសើបពីម៉ាស៊ីនដែលឆ្លងមេរោគ ឬកាន់កាប់ប្រព័ន្ធសម្របសម្រួល។

អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានប្រទះឃើញសកម្មភាពរបស់ APT27 ជាលើកដំបូងក្នុងឆ្នាំ 2010 ហើយបាននិងកំពុងតាមដានយ៉ាងយកចិត្តទុកដាក់តាំងពីពេលនោះមក។ ចាប់តាំងពីពួកគេត្រូវបានគេប្រទះឃើញជាលើកដំបូង APT27 បានគ្រប់គ្រងដើម្បីសម្របសម្រួលគោលដៅដែលដំណើរការនៅក្នុងឧស្សាហកម្មសំខាន់ៗជាច្រើន៖

  • រដ្ឋាភិបាល។
  • ការពារ។
  • បច្ចេកវិទ្យា។
  • ថាមពល។
  • ការផលិត។
  • លំហអាកាស។

ក្នុងចំណោមឧបករណ៍ដែលប្រើប្រាស់ច្រើនបំផុតនៅក្នុងឃ្លាំងអាវុធរបស់ APT27 គឺ Gh0st RAT , ZXShell និង HyperBro ។ ទោះជាយ៉ាងណាក៏ដោយ អ្នកបោកប្រាស់តាមអ៊ីនធឺណិតពី APT27 មិនពឹងផ្អែកតែលើឧបករណ៍លួចចូលដែលបង្កើតដោយផ្ទាល់ខ្លួននោះទេ។ APT27 ក៏ដូចជា APTs ជាច្រើនផ្សេងទៀតដែរ ប្រើប្រាស់សេវាកម្មស្របច្បាប់សម្រាប់ប្រតិបត្តិការមិនសមរម្យរបស់ពួកគេ ក៏ដូចជាឧបករណ៍លួចចូលដែលមានជាសាធារណៈផងដែរ។

APT27 បានវាយប្រហារលើគោលដៅជាច្រើនដោយហេតុផលជាច្រើន ចាប់ពីការលួចទិន្នន័យអំពីបច្ចេកវិទ្យាទំនើបៗ រហូតដល់ការធ្វើចារកម្មលើក្រុមជនស៊ីវិល និងអ្នកប្រឆាំងសម្រាប់រដ្ឋាភិបាល។

Emissary Panda ប្រើប្រាស់ឧបករណ៍ដែលមានស្រាប់ដូចជា លិខិតសម្គាល់ ឧបករណ៍ និងសេវាកម្មដែលមានដើមកំណើតពីគោលដៅ និងមេរោគផ្ទាល់ខ្លួនដែលត្រូវបានបង្កើតឡើងសម្រាប់ការវាយប្រហារ។ ក្រុមផ្តោតលើការរក្សាវត្តមាននៅលើប្រព័ន្ធសម្របសម្រួលសម្រាប់រយៈពេលបន្ត។

ក្រុមនេះត្រូវបានគេសង្កេតឃើញដើម្បីត្រឡប់ទៅបណ្តាញដែលត្រូវបានសម្របសម្រួលប្រហែលរៀងរាល់បីខែម្តង ដើម្បីផ្ទៀងផ្ទាត់ថាពួកគេនៅតែមានការចូលប្រើ ធ្វើឱ្យការចូលដំណើរការឡើងវិញប្រសិនបើវាត្រូវបានបាត់បង់ និងស្វែងរកទិន្នន័យដែលចាប់អារម្មណ៍បន្ថែមទៀតចំពោះការវាយប្រហារ។

APT27 បង្ហាញពីអ្វីដែលចាស់គឺថ្មីម្តងទៀត

កាលពីឆ្នាំមុន ក្រុមនេះត្រូវបានគេមើលឃើញថាកំពុងដាក់ពង្រាយកំណែអាប់ដេតនៃការចូលប្រើពីចម្ងាយ Trojan (RAT) ZxShell ។ ZxShell ត្រូវ​បាន​បង្កើត​ឡើង​ដំបូង​ក្នុង​ឆ្នាំ 2006 ដោយ​មាន​កូដ​ប្រភព​សម្រាប់​កម្មវិធី​បាន​ចេញ​ផ្សាយ​នៅ​ឆ្នាំ​បន្ទាប់​ក្នុង​ឆ្នាំ 2007 ។ មេរោគ​មាន​ការ​បញ្ជូន​បន្ត​កញ្ចប់​ព័ត៌មាន HTran ដែល​ភ្ជាប់​មក​ជាមួយ ហើយ​ត្រូវ​បាន​ចុះហត្ថលេខា​ដោយ​វិញ្ញាបនបត្រ​ឌីជីថល​ដែល​ជា​កម្មសិទ្ធិ​របស់ Hangzhou Shunwang Technology Co. ព្រម​ទាំង​ វិញ្ញាបនបត្រឌីជីថលសម្រាប់ Shanghai Hintsoft Co., Ltd.

APT27 ក៏ទំនងជានៅពីក្រោយកំណែដែលបានកែប្រែនៃ Gh0st RAT ដែលត្រូវបានដាក់ឱ្យប្រើប្រាស់ក្នុងឆ្នាំ 2018។ កូដប្រភពសម្រាប់ Gh0st RAT ដើមក៏មាននៅលើអ៊ីនធឺណិតផងដែរ។ កំណែដែលបានធ្វើបច្ចុប្បន្នភាពត្រូវបានប្រើប្រឆាំងនឹងប្រព័ន្ធជាច្រើននៅក្នុងបណ្តាញដែលសម្របសម្រួល។ គំរូដែលបានប្រទះឃើញដោយអ្នកស្រាវជ្រាវទំនាក់ទំនងនៅលើច្រក TCP 443 តាមរយៈពិធីការប្រព័ន្ធគោលពីរផ្ទាល់ខ្លួន ជាមួយនឹងបឋមកថាដែលបានកែប្រែដើម្បីលាក់ទំនាក់ទំនងចរាចរណ៍បណ្តាញកាន់តែប្រសើរ។

មិនមានខ្លឹមសារជាមួយនឹងការប្រើប្រាស់ឧបករណ៍ដែលបានរកឃើញនៅលើអ៊ីនធឺណិត APT27 ក៏បានបង្កើត និងប្រើប្រាស់ឧបករណ៍ប្រើប្រាស់ពីចម្ងាយដែលមានកម្មសិទ្ធិផ្ទាល់ខ្លួនផងដែរ។ ឧបករណ៍ទាំងនេះដូចជា HyperBro និង SysUpdate បាននិងកំពុងបង្កើតជុំតាំងពីឆ្នាំ 2016។

SysUpdate គឺជាប្រភេទមេរោគពហុដំណាក់កាល ហើយត្រូវបានប្រើប្រាស់ដោយ Emissary Panda ប៉ុណ្ណោះ។ មេរោគនេះត្រូវបានបញ្ជូនតាមវិធីសាស្រ្តជាច្រើន ដូចជាឯកសារ Word ព្យាបាទដោយប្រើ Dynamic Data Exchange (DDE) ការដាក់ឱ្យប្រើប្រាស់ដោយដៃតាមរយៈព័ត៌មានសម្ងាត់ដែលត្រូវបានលួច និងការបញ្ជូនបន្តគេហទំព័រ និងការសម្របសម្រួលគេហទំព័រជាយុទ្ធសាស្ត្រ (SWC)។

ការដាក់ឱ្យប្រើប្រាស់ និងរីករាលដាលមេរោគ APT27

មិនថាការដាក់ពង្រាយនោះទេ ការផ្ទុកដំបូងត្រូវបានដំឡើងតាមរយៈឯកសារ WinRAR ដែលស្រង់ចេញដោយខ្លួនឯង (SFX) ដែលដំឡើងដំណាក់កាលដំបូងសម្រាប់ SysUpdate ។ ដំណាក់កាលទី 1 សម្រេចបាននូវភាពជាប់លាប់នៅលើម៉ាស៊ីន មុនពេលដំឡើង payload ដំណាក់កាលទីពីរ ដែលគេស្គាល់ថា SysUpdate Main ។ មេរោគទំនាក់ទំនងតាមរយៈ HTTP និងទាញយកកូដដើម្បីបញ្ចូលទៅក្នុង svchost.exe ។

SysUpdate Main ផ្តល់ជូនអ្នកវាយប្រហារនូវជួរនៃសមត្ថភាពចូលប្រើពីចម្ងាយ។ RAT អនុញ្ញាតឱ្យពួក Hacker ចូលប្រើ និងគ្រប់គ្រងឯកសារ និងដំណើរការនៅលើម៉ាស៊ីន ធ្វើអន្តរកម្មជាមួយសេវាកម្មផ្សេងៗ បើកដំណើរការសែលពាក្យបញ្ជា ថតរូបអេក្រង់ ហើយបង្ហោះ និងទាញយកមេរោគផ្សេងទៀតតាមតម្រូវការ។

SysUpdate គឺជាមេរោគដែលអាចបត់បែនបានគួរឱ្យកត់សម្គាល់ ដែលអាចត្រូវបានពង្រីក ឬបន្ថយតាមតម្រូវការតាមរយៈឯកសារ payload ផ្សេងទៀត។ សមត្ថភាពក្នុងការគ្រប់គ្រងវត្តមានរបស់មេរោគប្រកបដោយប្រសិទ្ធភាពអនុញ្ញាតឱ្យពួក Hacker លាក់សមត្ថភាពពេញលេញរបស់ពួកគេ នេះបើយោងតាមអ្នកស្រាវជ្រាវសន្តិសុខ។

តួអង្គគម្រាមកំហែងអាចប្រើប្រាស់ឧបករណ៍ដែលមានកម្មសិទ្ធិរបស់ពួកគេក្នុងអំឡុងពេលមានការឈ្លានពានដ៏ទំនើបមួយ។ ឧបករណ៍ទាំងនេះផ្តល់ឱ្យពួកគេនូវការគ្រប់គ្រងកាន់តែច្រើនក្នុងការថយចុះហានិភ័យនៃការរកឃើញ។ តួអង្គគំរាមកំហែងហាក់ដូចជាទទួលបានសិទ្ធិចូលប្រើបណ្តាញដោយប្រើឧបករណ៍ដែលមានយ៉ាងទូលំទូលាយ។ នៅពេលដែលពួកគេមាននៅលើប្រព័ន្ធ ពួកគេអាចជៀសផុតពីការគ្រប់គ្រងសុវត្ថិភាព ទទួលបានសិទ្ធិ និងការអនុញ្ញាតសំខាន់ៗ និងរក្សាសិទ្ធិចូលប្រើប្រព័ន្ធដែលមានតម្លៃខ្ពស់ក្នុងរយៈពេលវែង។ APT27 ចំណាយយូរលើបណ្តាញគោលដៅ ការខូចខាតកាន់តែមានសក្តានុពលដែលវាអាចធ្វើបាន។ នៅក្នុងសេណារីយ៉ូករណីដ៏អាក្រក់បំផុត ក្រុមអាចមានវត្តមាននៅលើប្រព័ន្ធអស់រយៈពេលជាច្រើនឆ្នាំ ដោយប្រមូលព័ត៌មានរសើបជាច្រើន និងបង្កការខូចខាតគ្រប់ប្រភេទ។

ឧបករណ៍លួចចូលដែលបង្កើតដោយខ្លួនឯងដ៏ពេញនិយមមួយដែលត្រូវបានបង្កើតឡើងដោយ APT27 គឺជាការគំរាមកំហែង SysUpdate ។ នេះគឺជា RAT (Remote Access Trojan) ដែល APT27 ហាក់ដូចជាផ្សព្វផ្សាយតាមរយៈអ៊ីមែល spam ក្លែងក្លាយ និងការវាយប្រហារតាមបណ្តាញផ្គត់ផ្គង់។ អ្នកជំនាញ Malware ជឿថា ជនខិលខូចតាមអ៊ីនធឺណិតក៏អាចដំឡើង SysUpdate RAT លើម៉ាស៊ីនគោលដៅដោយដៃផងដែរ ដោយបានផ្តល់ថាពួកគេបានជ្រៀតចូលពួកវាពីមុនមក។ RAT ជាក់លាក់នេះមានរចនាសម្ព័ន្ធម៉ូឌុល។ នេះមានន័យថា APT27 អាចបង្កើតច្បាប់ចម្លងជាមូលដ្ឋាននៃការគម្រាមកំហែងនៅលើកុំព្យូទ័រដែលត្រូវបានសម្របសម្រួល ហើយបន្ទាប់មកបន្ថែមលក្ខណៈពិសេសបន្ថែមទៀតទៅវា ធ្វើឱ្យ RAT កាន់តែខ្លាំង។

APT27 ហាក់ដូចជាក្រុម hacking ដែលអាចបត់បែនបាន - ទាំងទាក់ទងនឹងវិធីសាស្រ្តផ្សព្វផ្សាយដែលពួកគេប្រើប្រាស់ និងឧបករណ៍ជាច្រើនដែលពួកគេដាក់ពង្រាយ។ នេះធ្វើឱ្យ APT27 ក្លាយជាក្រុមគម្រាមកំហែងនៃអ្នកបោកប្រាស់តាមអ៊ីនធឺណិត ដែលមិនគួរត្រូវបានប៉ាន់ស្មានឡើយ។