APT27

APT27 Aprašymas

APT27 (Advanced Persistent Threat) yra įsilaužimo grupės, kilusios iš Kinijos ir linkusios siekti aukšto lygio taikinių, pavadinimas. APT27 taip pat žinomas įvairiais kitais slapyvardžiais, įskaitant Emissary Panda, LuckyMouse ir BronzeUnion. Tarp žinomiausių APT27 vykdomų kampanijų yra jų atakos, nukreiptos prieš Jungtinių Valstijų gynybos rangovus. Kitos populiarios APT27 operacijos apima kampaniją prieš daugelį finansų sektoriuje veikiančių įmonių, taip pat ataką prieš duomenų centrą, esantį Centrinėje Azijoje. APT27 ginkluotėje esantys įsilaužimo įrankiai apima grėsmes, kurios leistų jiems atlikti žvalgybos operacijas, rinkti jautrius failus iš užkrėsto pagrindinio kompiuterio arba perimti pažeistą sistemą.

Kibernetinio saugumo tyrinėtojai pirmą kartą pastebėjo APT27 veiklą 2010 m. ir nuo to laiko atidžiai ją stebi. Nuo tada, kai jie pirmą kartą buvo pastebėti, APT27 sugebėjo pasiekti kompromisą su tikslais, kurie veikia įvairiose pagrindinėse pramonės šakose:

  • Vyriausybė.
  • Gynyba.
  • Technologijos.
  • Energija.
  • Gamyba.
  • Aviacijos erdvė.

Tarp labiausiai naudojamų įrankių APT27 įsilaužimo arsenale yra Gh0st RAT , ZXShell ir HyperBro . Tačiau kibernetiniai sukčiai iš APT27 nepasikliauja tik specialiai sukurtais įsilaužimo įrankiais. APT27, kaip ir daugelis kitų APT, savo nesąžiningoms operacijoms taip pat naudoja teisėtas paslaugas, taip pat viešai prieinamus įsilaužimo įrankius.

APT27 atakavo įvairius taikinius dėl įvairių priežasčių – nuo duomenų apie pažangiausias technologijas vagystės iki civilių grupių ir disidentų šnipinėjimo vyriausybės naudai.

„Emissary Panda“ naudoja lengvai pasiekiamus įrankius, pvz., kredencialus, įrankius ir paslaugas, būdingas taikiniui, ir pritaikytą kenkėjišką programinę įrangą, sukurtą atakoms. Grupė daugiausia dėmesio skiria tam, kad ilgą laiką būtų buvimas pažeistose sistemose.

Pastebėta, kad grupė maždaug kas tris mėnesius grįždavo į pažeistus tinklus, kad patikrintų, ar jie vis dar turi prieigą, atnaujina prieigą, jei ji buvo prarasta, ir surasdavo daugiau su išpuoliu susijusių duomenų.

APT27 parodo, kas sena, yra vėl nauja

Praėjusiais metais buvo pastebėta, kad grupė diegia atnaujintas nuotolinės prieigos Trojos arklys (RAT) ZxShell. „ZxShell“ pirmą kartą buvo sukurta 2006 m., o programos šaltinio kodas buvo išleistas kitais metais 2007 m. Kenkėjiška programinė įranga turi integruotą HTran paketų peradresavimą ir buvo pasirašyta skaitmeniniu sertifikatu, priklausančiu Hangzhou Shunwang Technology Co., ir skaitmeninis sertifikatas, skirtas Shanghai Hintsoft Co., Ltd.

APT27 taip pat greičiausiai buvo už modifikuotos Gh0st RAT versijos, įdiegtos 2018 m. Pradinio Gh0st RAT šaltinio kodą taip pat galima rasti internete. Atnaujinta versija buvo naudojama prieš kelias sistemas pažeistame tinkle. Tyrėjų pastebėtas pavyzdys bendrauja per TCP 443 prievadą per pasirinktinį dvejetainį protokolą su pakeistomis antraštėmis, kad būtų geriau paslėpti tinklo srauto pranešimai.

Nepatenkindamas internete randamų įrankių naudojimu, APT27 taip pat sukūrė ir naudojo savo nuosavų nuotolinės prieigos įrankių asortimentą. Šios priemonės, tokios kaip „HyperBro“ ir „SysUpdate“, buvo naudojamos nuo 2016 m.

„SysUpdate“ yra kelių pakopų kenkėjiška programa, kurią naudoja tik „Emissary Panda“. Kenkėjiška programa pristatoma keliais būdais, pvz., kenkėjiškais „Word“ dokumentais naudojant dinaminį duomenų mainą (DDE), rankiniu būdu naudojant pavogtus kredencialus ir žiniatinklio peradresavimus bei strateginį žiniatinklio kompromisą (SWC).

APT27 kenkėjiškų programų diegimas ir platinimas

Nepriklausomai nuo diegimo, pirmoji naudingoji apkrova įdiegiama naudojant savaiminio išskleidimo (SFX) WinRAR failą, kuris įdiegia pirmosios pakopos naudingąją apkrovą, skirtą SysUpdate. Pirmuoju etapu mašina išlieka pastovi prieš įdiegiant antrojo etapo naudingąją apkrovą, žinomą kaip SysUpdate Main. Kenkėjiška programa palaiko ryšį per HTTP ir atsisiunčia kodą, kad įterptų į svchost.exe.

„SysUpdate Main“ suteikia užpuolikams daugybę nuotolinės prieigos galimybių. RAT leidžia įsilaužėliams pasiekti ir valdyti įrenginyje esančius failus ir procesus, sąveikauti su įvairiomis paslaugomis, paleisti komandų apvalkalą, daryti ekrano kopijas ir prireikus įkelti bei atsisiųsti kitas kenkėjiškas programas.

SysUpdate yra nepaprastai lanksti kenkėjiška programa, kurią prireikus galima išplėsti arba sumažinti naudojant kitus naudingos apkrovos failus. Galimybė efektyviai kontroliuoti viruso buvimą leidžia įsilaužėliams paslėpti visas savo galimybes, teigia saugumo tyrėjai.

Sudėtingo įsibrovimo metu grėsmės veikėjai gali panaudoti savo patentuotas priemones. Šios priemonės suteikia jiems daugiau kontrolės ir sumažina aptikimo riziką. Panašu, kad grėsmės veikėjai gauna prieigą prie tinklų naudodami plačiai prieinamas priemones. Kai jie yra sistemoje, jie gali apeiti saugos kontrolę, gauti prieigą prie svarbesnio privilegijų ir leidimų rinkinio ir išlaikyti prieigą prie didelės vertės sistemų ilgą laiką. Kuo ilgiau APT27 išleidžia tiksliniame tinkle, tuo daugiau galimos žalos jis gali padaryti. Blogiausiu atveju grupė gali būti sistemoje daugelį metų, rinkdama daug neskelbtinos informacijos ir pridaranti visokios žalos.

Vienas iš populiariausių pagal užsakymą sukurtų įsilaužimo įrankių, kurį sukūrė APT27, yra SysUpdate grėsmė. Tai yra RAT (nuotolinės prieigos Trojos arklys), kurį, atrodo, APT27 platina per netikrus el. pašto elektroninius laiškus ir tiekimo grandinės atakas. Kenkėjiškų programų ekspertai mano, kad kibernetiniai sukčiai taip pat gali rankiniu būdu įdiegti „SysUpdate RAT“ tikslinėse prieglobose, jei jie anksčiau buvo į juos įsiskverbę. Šis specifinis RAT turi modulinę struktūrą. Tai reiškia, kad APT27 gali įdiegti pagrindinę grėsmės kopiją pažeistame kompiuteryje, o tada pridėti daugiau funkcijų, dar labiau ginkluodamas RAT.

Atrodo, kad APT27 yra labai lanksti įsilaužimo grupė – tiek kalbant apie jų naudojamus platinimo metodus, tiek apie platų naudojamų įrankių įvairovę. Dėl to APT27 yra gana grėsminga kibernetinių sukčių grupe, kurios nereikėtų nuvertinti.