APT27

APT27(Advanced Persistent Threat)은 중국에서 발원한 해킹 그룹의 이름으로 세간의 이목을 끄는 표적을 노리는 경향이 있습니다. APT27은 Emissary Panda, LuckyMouse 및 BronzeUnion을 비롯한 다양한 다른 별칭으로도 알려져 있습니다. APT27이 수행한 가장 잘 알려진 캠페인 중 하나는 미국 방산업체를 대상으로 한 공격입니다. APT27의 다른 인기 있는 작전으로는 금융 부문에서 활동하는 여러 회사에 대한 캠페인과 중앙 아시아에 위치한 데이터 센터에 대한 공격이 있습니다. APT27 무기의 해킹 도구에는 정찰 작업을 수행하거나 감염된 호스트에서 민감한 파일을 수집하거나 손상된 시스템을 인수할 수 있는 위협이 포함됩니다.

사이버 보안 연구원들은 2010년에 APT27의 활동을 처음 발견했으며 그 이후로 계속 주시해 왔습니다. APT27은 처음 발견된 이후로 다양한 주요 산업에서 작동하는 표적을 손상시킬 수 있었습니다.

• 정부.
• 방어.
• 기술.
• 에너지.
• 조작.
• 항공우주.

APT27의 해킹 무기고에서 가장 많이 사용되는 도구는 Gh0st RAT , ZXShell 및 HyperBro 입니다. 그러나 APT27의 사이버 사기꾼은 맞춤형 해킹 도구에만 의존하지 않습니다. APT27은 다른 많은 APT와 마찬가지로 악의적인 작업에 합법적인 서비스와 공개적으로 사용 가능한 해킹 도구를 활용합니다.

APT27은 첨단 기술에 대한 데이터를 훔치는 것부터 민간 단체와 정부의 반체제 인사에 대한 염탐에 이르기까지 다양한 이유로 다양한 표적을 공격했습니다.

Emissary Panda는 대상 고유의 자격 증명, 도구 및 서비스와 같은 즉시 사용 가능한 도구와 공격용으로 개발된 사용자 지정 맬웨어를 사용합니다. 이 그룹은 손상된 시스템에 장기간 존재를 유지하는 데 중점을 둡니다.

이 그룹은 약 3개월마다 손상된 네트워크로 돌아가서 여전히 액세스 권한이 있는지 확인하고, 액세스 권한이 손실된 경우 액세스 권한을 새로 고치고, 공격에 관심이 있는 추가 데이터를 찾는 것으로 관찰되었습니다.

APT27은 오래된 것이 다시 새로운 것임을 보여줍니다.

작년에 이 그룹은 원격 액세스 트로이 목마(RAT) ZxShell의 업데이트된 버전을 배포하는 것으로 나타났습니다. ZxShell은 2006년에 처음 개발되었으며 이 프로그램의 소스 코드는 2007년에 공개되었습니다. 이 멀웨어에는 HTran 패킷 리디렉션이 내장되어 있으며 Hangzhou Shunwang Technology Co. 및 Shanghai Hintsoft Co., Ltd. 디지털 인증서

APT27은 또한 2018년에 배포된 Gh0st RAT의 수정된 버전 뒤에 있었을 가능성이 있습니다. 원본 Gh0st RAT의 소스 코드도 온라인에서 사용할 수 있습니다. 업데이트된 버전은 손상된 네트워크의 여러 시스템에 사용되었습니다. 연구원이 발견한 샘플은 사용자 지정 바이너리 프로토콜을 통해 TCP 포트 443에서 통신하며, 네트워크 트래픽 통신을 더 잘 숨기기 위해 수정된 헤더를 사용합니다.

APT27은 온라인에서 찾은 도구를 사용하는 데 만족하지 않고 자체 범위의 독점 원격 액세스 도구도 개발하고 사용했습니다. HyperBro 및 SysUpdate와 같은 이러한 도구는 2016년부터 출시되었습니다.

SysUpdate는 일종의 다단계 멀웨어이며 Emissary Panda에서만 사용됩니다. 악성코드는 DDE(Dynamic Data Exchange)를 사용한 악성 Word 문서, 도용된 자격 증명을 통한 수동 배포, 웹 리디렉션, 전략적 웹 손상(SWC) 등 여러 방법을 통해 전달됩니다.

APT27 악성코드 배포 및 확산

배포에 관계없이 첫 번째 페이로드는 SysUpdate의 첫 번째 단계 페이로드를 설치하는 자동 압축 풀림(SFX) WinRAR 파일을 통해 설치됩니다. 첫 번째 단계에서는 SysUpdate Main이라고 하는 두 번째 단계 페이로드를 설치하기 전에 시스템에서 지속성을 확보합니다. 맬웨어는 HTTP를 통해 통신하고 svchost.exe에 삽입할 코드를 다운로드합니다.

SysUpdate Main은 공격자에게 다양한 원격 액세스 기능을 제공합니다. RAT를 통해 해커는 시스템의 파일 및 프로세스에 액세스 및 관리하고, 다른 서비스와 상호 작용하고, 명령 셸을 실행하고, 스크린샷을 찍고, 필요에 따라 다른 맬웨어를 업로드 및 다운로드할 수 있습니다.

SysUpdate는 다른 페이로드 파일을 통해 필요에 따라 확장하거나 축소할 수 있는 매우 유연한 맬웨어입니다. 보안 연구원에 따르면 해커는 바이러스의 존재를 효과적으로 제어할 수 있어 자신의 모든 기능을 숨길 수 있습니다.

위협 행위자는 정교한 침입 중에 고유한 도구를 활용할 수 있습니다. 이러한 도구를 사용하면 탐지 위험을 줄이면서 더 많은 제어를 할 수 있습니다. 위협 행위자는 널리 사용되는 도구를 사용하여 네트워크에 액세스하는 것으로 보입니다. 일단 시스템에 있으면 보안 제어를 우회하고 더 중요한 권한 및 권한 집합에 액세스할 수 있으며 장기적으로 고가치 시스템에 대한 액세스를 유지할 수 있습니다. APT27이 대상 네트워크에서 더 오래 사용할수록 더 많은 피해를 줄 수 있습니다. 최악의 시나리오에서 이 그룹은 시스템에 수년 동안 존재하여 민감한 정보를 많이 수집하고 모든 종류의 손상을 일으킬 수 있습니다.

APT27에서 개발한 가장 인기 있는 맞춤형 해킹 도구 중 하나는 SysUpdate 위협입니다. 이것은 APT27이 가짜 스팸 이메일과 공급망 공격을 통해 전파되는 것으로 보이는 RAT(원격 액세스 트로이 목마)입니다. 맬웨어 전문가는 사이버 범죄자가 이전에 침투한 적이 있는 경우 대상 호스트에 수동으로 SysUpdate RAT를 설치할 수도 있다고 생각합니다. 이 특정 RAT는 모듈식 구조를 가지고 있습니다. 이것은 APT27이 손상된 컴퓨터에 위협의 기본 복사본을 심은 다음 더 많은 기능을 추가하여 RAT를 더욱 무기화할 수 있음을 의미합니다.

APT27은 사용하는 전파 방법과 배포하는 도구의 다양한 측면에서 매우 유연한 해킹 그룹으로 보입니다. 이것은 APT27을 과소 평가해서는 안되는 사이버 사기꾼의 다소 위협적인 그룹으로 만듭니다.