APT27

APT27 (Advanced Persistent Threat) ir uzlaušanas grupas nosaukums, kuras izcelsme ir Ķīna un kas mēdz meklēt augsta līmeņa mērķus. APT27 ir zināms arī ar dažādiem citiem pseidonīmiem, tostarp Emissary Panda, LuckyMouse un BronzeUnion. Viena no pazīstamākajām APT27 kampaņām ir viņu uzbrukumi, kas vērsti pret Amerikas Savienoto Valstu aizsardzības darbuzņēmējiem. Citas populāras APT27 operācijas ietver kampaņu pret vairākiem uzņēmumiem, kas darbojas finanšu sektorā, kā arī uzbrukumu datu centram, kas atrodas Centrālāzijā. Uzlaušanas rīki APT27 ieročos ietver draudus, kas ļautu veikt izlūkošanas operācijas, savākt sensitīvus failus no inficētā saimniekdatora vai pārņemt apdraudēto sistēmu.

Kiberdrošības pētnieki pirmo reizi pamanīja APT27 darbību 2010. gadā un kopš tā laika ir tai rūpīgi sekojuši līdzi. Kopš tie pirmo reizi tika pamanīti, APT27 ir spējis apdraudēt mērķus, kas darbojas dažādās galvenajās nozarēs:

• valdība.
• Aizsardzība.
• Tehnoloģija.
• Enerģija.
• Ražošana.
• Aviācija.

Viens no visvairāk izmantotajiem rīkiem APT27 hakeru arsenālā ir Gh0st RAT , ZXShell un HyperBro . Tomēr APT27 kiberkrāpnieki nepaļaujas tikai uz īpaši izgatavotiem uzlaušanas rīkiem. APT27, tāpat kā daudzi citi APT, izmanto arī likumīgus pakalpojumus savām nežēlīgajām darbībām, kā arī publiski pieejamus uzlaušanas rīkus.

APT27 ir uzbrukusi vairākiem mērķiem dažādu iemeslu dēļ, sākot no jaunāko tehnoloģiju datu zagšanas līdz civilo grupu un disidentu izspiegošanai valdības labā.

Emissary Panda izmanto viegli pieejamus rīkus, piemēram, akreditācijas datus, rīkus un pakalpojumus, kas ir raksturīgi mērķim, kā arī pielāgotu ļaunprātīgu programmatūru, kas izstrādāta uzbrukumiem. Grupa koncentrējas uz klātbūtnes uzturēšanu apdraudētajās sistēmās ilgāku laiku.

Tika novērots, ka grupa aptuveni ik pēc trim mēnešiem atgriežas apdraudētajos tīklos, lai pārbaudītu, vai tai joprojām ir piekļuve, atsvaidzinātu piekļuvi, ja tā būtu pazaudēta, un atrastu citus uzbrukumam interesējošos datus.

APT27 parāda, kas ir vecs, ir atkal jauns

Pagājušajā gadā tika novērots, ka grupa izvietoja atjauninātas attālās piekļuves Trojas zirga (RAT) ZxShell versijas. ZxShell pirmo reizi tika izstrādāts 2006. gadā, bet programmas pirmkods tika izlaists nākamajā 2007. gadā. Ļaunprātīgajai programmatūrai ir iebūvēta HTran pakešu pāradresācija, un tā tika parakstīta ar digitālo sertifikātu, kas pieder Hangzhou Shunwang Technology Co., kā arī digitālais sertifikāts uzņēmumam Shanghai Hintsoft Co., Ltd.

APT27, visticamāk, bija arī aiz modificētās Gh0st RAT versijas, kas tika izvietota 2018. gadā. Sākotnējā Gh0st RAT pirmkods ir pieejams arī tiešsaistē. Atjauninātā versija tika izmantota pret vairākām sistēmām apdraudētā tīklā. Pētnieku pamanītais paraugs sazinās ar TCP portu 443, izmantojot pielāgotu bināro protokolu ar modificētām galvenēm, lai labāk paslēptu tīkla trafika sakarus.

Neapmierinoties ar tiešsaistē atrodamo rīku izmantošanu, APT27 ir arī izstrādājis un izmantojis savu patentētu attālās piekļuves rīku klāstu. Šie rīki, piemēram, HyperBro un SysUpdate, ir izmantoti kopš 2016. gada.

SysUpdate ir sava veida daudzpakāpju ļaunprātīga programmatūra, un to izmanto tikai Emissary Panda. Ļaunprātīga programmatūra tiek piegādāta, izmantojot vairākas metodes, piemēram, ļaunprātīgus Word dokumentus, izmantojot dinamisko datu apmaiņu (DDE), manuālu izvietošanu, izmantojot zagtus akreditācijas datus un tīmekļa novirzīšanu, un stratēģisko tīmekļa kompromisu (SWC).

APT27 ļaunprātīgas programmatūras izvietošana un izplatīšana

Neatkarīgi no izvietošanas pirmā lietderīgā slodze tiek instalēta, izmantojot pašizpletes (SFX) WinRAR failu, kas instalē SysUpdate pirmās pakāpes derīgo slodzi. Pirmajā posmā tiek panākta mašīnas noturība, pirms tiek instalēta otrā posma lietderīgā slodze, kas pazīstama kā SysUpdate Main. Ļaunprātīga programmatūra sazinās, izmantojot HTTP, un lejupielādē kodu, ko ievadīt svchost.exe.

SysUpdate Main nodrošina uzbrucējiem dažādas attālās piekļuves iespējas. RAT ļauj hakeriem piekļūt un pārvaldīt failus un procesus mašīnā, mijiedarboties ar dažādiem pakalpojumiem, palaist komandu čaulu, uzņemt ekrānuzņēmumus un pēc vajadzības augšupielādēt un lejupielādēt citu ļaunprātīgu programmatūru.

SysUpdate ir ļoti elastīga ļaunprātīga programmatūra, kuru pēc vajadzības var paplašināt vai samazināt, izmantojot citus derīgās slodzes failus. Spēja efektīvi kontrolēt vīrusa klātbūtni ļauj hakeriem slēpt visas savas spējas, norāda drošības pētnieki.

Sarežģītas iejaukšanās laikā draudu dalībnieki var izmantot savus patentētos rīkus. Šie rīki sniedz viņiem lielāku kontroli un samazina atklāšanas risku. Šķiet, ka apdraudējuma dalībnieki iegūst piekļuvi tīkliem, izmantojot plaši pieejamus rīkus. Kad tie ir iekļauti sistēmā, viņi var apiet drošības kontroles, piekļūt nozīmīgākam privilēģiju un atļauju kopumam un saglabāt piekļuvi augstvērtīgām sistēmām ilgtermiņā. Jo ilgāk APT27 tērē mērķa tīklā, jo lielāku iespējamo kaitējumu tas var nodarīt. Sliktākajā gadījumā grupa varētu būt klāt sistēmā gadiem ilgi, vācot daudz sensitīvas informācijas un radot visa veida kaitējumu.

Viens no populārākajiem pielāgotajiem uzlaušanas rīkiem, ko izstrādāja APT27, ir SysUpdate draudi. Šis ir RAT (attālās piekļuves Trojas zirgs), ko APT27, šķiet, izplata ar viltus surogātpasta e-pastiem un piegādes ķēdes uzbrukumiem. Ļaunprātīgas programmatūras eksperti uzskata, ka kiberkrāpnieki var arī manuāli instalēt SysUpdate RAT mērķa resursdatoros, ja vien tie ir iepriekš tajos iefiltrējušies. Šim konkrētajam RAT ir modulāra struktūra. Tas nozīmē, ka APT27 var ievietot apdraudējuma pamata kopiju uzlauztajā datorā un pēc tam pievienot tam papildu funkcijas, vēl vairāk ierocot RAT.

Šķiet, ka APT27 ir ļoti elastīga uzlaušanas grupa — gan attiecībā uz izmantotajām izplatīšanas metodēm, gan plašo izmantoto rīku klāstu. Tas padara APT27 par diezgan draudīgu kiberkrāpnieku grupu, kuru nevajadzētu novērtēt par zemu.