APT27

APT27 Description

APT27 (Advanced Persistent Threat) ialah nama kumpulan penggodaman yang berasal dari China dan cenderung untuk mengejar sasaran berprofil tinggi. APT27 juga dikenali di bawah pelbagai alias lain, termasuk Emissary Panda, LuckyMouse dan BronzeUnion. Antara kempen paling terkenal yang dijalankan oleh APT27 ialah serangan mereka menyasarkan kontraktor pertahanan Amerika Syarikat. Operasi popular lain oleh APT27 termasuk kempen terhadap beberapa syarikat yang beroperasi dalam sektor kewangan, serta serangan yang dilancarkan terhadap pusat data yang terletak di Asia Tengah. Alat penggodaman dalam persenjataan APT27 termasuk ancaman yang membolehkan mereka menjalankan operasi peninjauan, mengumpul fail sensitif daripada hos yang dijangkiti atau mengambil alih sistem yang terjejas.

Penyelidik keselamatan siber pertama kali melihat aktiviti APT27 pada tahun 2010 dan telah memerhatikannya sejak itu. Sejak pertama kali dikesan, APT27 telah berjaya menjejaskan sasaran yang beroperasi dalam pelbagai industri utama:

  • Kerajaan.
  • Pertahanan.
  • Teknologi.
  • Tenaga.
  • Pembuatan.
  • Aeroangkasa.

Antara alatan yang paling banyak digunakan dalam senjata penggodaman APT27 ialah Gh0st RAT , ZXShell dan HyperBro . Walau bagaimanapun, penjahat siber dari APT27 tidak hanya bergantung pada alat penggodaman yang dibina khas. APT27, seperti kebanyakan APT lain, juga menggunakan perkhidmatan yang sah untuk operasi jahat mereka, serta alat penggodaman yang tersedia untuk umum.

APT27 telah menyerang pelbagai sasaran atas pelbagai sebab, daripada mencuri data mengenai teknologi canggih kepada mengintip kumpulan awam dan penentang kerajaan.

Emissary Panda menggunakan alatan yang tersedia seperti bukti kelayakan, alatan dan perkhidmatan asli kepada sasaran dan perisian hasad tersuai yang dibangunkan untuk serangan. Kumpulan ini memberi tumpuan untuk mengekalkan kehadiran pada sistem yang terjejas untuk tempoh masa yang panjang.

Kumpulan itu diperhatikan untuk kembali ke rangkaian yang terjejas kira-kira setiap tiga bulan untuk mengesahkan bahawa mereka masih mempunyai akses, menyegarkan akses jika ia telah hilang dan mencari lebih banyak data yang menarik minat serangan itu.

APT27 Menunjukkan Yang Lama Adalah Baru Lagi

Tahun lepas, kumpulan itu dilihat menggunakan versi terkini akses jauh Trojan (RAT) ZxShell. ZxShell mula dibangunkan pada tahun 2006, dengan kod sumber untuk program itu dikeluarkan pada tahun berikutnya pada tahun 2007. Perisian hasad mempunyai pengalihan semula paket HTran terbina dalam dan ditandatangani dengan sijil digital kepunyaan Hangzhou Shunwang Technology Co., serta sijil digital untuk Shanghai Hintsoft Co., Ltd.

APT27 juga berkemungkinan berada di belakang versi diubah suai bagi Gh0st RAT yang digunakan pada 2018. Kod sumber untuk Gh0st RAT asal juga tersedia dalam talian. Versi yang dikemas kini telah digunakan terhadap beberapa sistem dalam rangkaian yang terjejas. Sampel yang dikesan oleh penyelidik berkomunikasi pada port TCP 443 melalui protokol binari tersuai, dengan pengepala yang diubah suai untuk menyembunyikan komunikasi trafik rangkaian dengan lebih baik.

Tidak berpuas hati dengan menggunakan alatan yang terdapat dalam talian, APT27 juga telah membangunkan dan menggunakan rangkaian alat capaian jauh proprietarinya sendiri. Alat ini, seperti HyperBro dan SysUpdate, telah membuat pusingan sejak 2016.

SysUpdate ialah sejenis perisian hasad berbilang peringkat dan hanya digunakan oleh Emissary Panda. Perisian hasad dihantar melalui beberapa kaedah, seperti dokumen Word berniat jahat menggunakan Dynamic Data Exchange (DDE), penggunaan manual melalui bukti kelayakan yang dicuri dan ubah hala web, dan kompromi web strategik (SWC).

Penyebaran dan Penyebaran Perisian Hasad APT27

Tidak kira penggunaan, muatan pertama dipasang melalui fail WinRAR yang mengekstrak sendiri (SFX) yang memasang muatan peringkat pertama untuk SysUpdate. Peringkat pertama mencapai kegigihan pada mesin sebelum memasang muatan peringkat kedua, yang dikenali sebagai SysUpdate Main. Malware berkomunikasi melalui HTTP dan memuat turun kod untuk disuntik ke dalam svchost.exe.

SysUpdate Main menyampaikan penyerang pelbagai keupayaan capaian jauh. RAT membenarkan penggodam mengakses dan mengurus fail dan proses pada mesin, berinteraksi dengan perkhidmatan yang berbeza, melancarkan shell arahan, mengambil tangkapan skrin dan memuat naik serta memuat turun perisian hasad lain seperti yang diperlukan.

SysUpdate ialah perisian hasad yang sangat fleksibel yang boleh dikembangkan atau dikurangkan mengikut keperluan melalui fail muatan lain. Keupayaan untuk mengawal kehadiran virus secara berkesan membolehkan penggodam menyembunyikan keupayaan penuh mereka, menurut penyelidik keselamatan.

Aktor ancaman boleh memanfaatkan alatan proprietari mereka semasa pencerobohan yang canggih. Alat ini memberi mereka lebih kawalan pada pengurangan risiko pengesanan. Aktor ancaman nampaknya mendapat akses kepada rangkaian menggunakan alat yang tersedia secara meluas. Apabila mereka berada pada sistem, mereka boleh memintas kawalan keselamatan, mendapat akses kepada set keistimewaan dan kebenaran yang lebih penting, dan mengekalkan akses kepada sistem bernilai tinggi dalam jangka panjang. Lebih lama APT27 dibelanjakan pada rangkaian sasaran, lebih banyak potensi kerosakan yang boleh dilakukannya. Dalam senario terburuk, kumpulan itu boleh mempunyai kehadiran pada sistem selama bertahun-tahun, mengumpul banyak maklumat sensitif dan menyebabkan semua jenis kerosakan.

Salah satu alat penggodaman ciptaan tersuai yang lebih popular yang dibangunkan oleh APT27 ialah ancaman SysUpdate. Ini ialah RAT (Remote Access Trojan) yang APT27 nampaknya disebarkan melalui e-mel spam palsu dan serangan rantaian bekalan. Pakar perisian hasad percaya bahawa pencuri siber juga boleh memasang RAT SysUpdate pada hos yang disasarkan secara manual, dengan syarat mereka telah menyusupkannya sebelum ini. RAT khusus ini mempunyai struktur modular. Ini bermakna bahawa APT27 boleh menanam salinan asas ancaman pada komputer yang terjejas, dan kemudian menambah lebih banyak ciri padanya, mempersenjatai RAT lagi.

APT27 nampaknya merupakan kumpulan penggodaman yang sangat fleksibel – baik dari segi kaedah penyebaran yang mereka gunakan dan pelbagai jenis alatan yang mereka gunakan. Ini menjadikan APT27 sebagai kumpulan penyangak siber yang agak mengancam, yang tidak boleh dipandang remeh.