APT27

APT27 (Advanced Persistent Threat) er navnet på en hackergruppe som kommer fra Kina og har en tendens til å gå etter høyprofilerte mål. APT27 er også kjent under forskjellige andre aliaser, inkludert Emissary Panda, LuckyMouse og BronzeUnion. Blant de mest kjente kampanjene utført av APT27 er angrepene deres rettet mot USAs forsvarsentreprenører. Andre populære operasjoner av APT27 inkluderer en kampanje mot en rekke selskaper som opererer i finanssektoren, samt et angrep mot et datasenter i Sentral-Asia. Hackingverktøyene i våpenet til APT27 inkluderer trusler som vil tillate dem å utføre rekognoseringsoperasjoner, samle inn sensitive filer fra den infiserte verten eller ta over det kompromitterte systemet.

Cybersikkerhetsforskere oppdaget aktiviteten til APT27 for første gang i 2010 og har holdt et øye med den siden. Siden de først ble oppdaget, har APT27 klart å kompromittere mål som opererer i en rekke nøkkelbransjer:

• Myndighetene.
• Forsvar.
• Teknologi.
• Energi.
• Produksjon.
• Luftfart.

Blant de mest brukte verktøyene i hacking-arsenalet til APT27 er Gh0st RAT , ZXShell og HyperBro . Cyberskurkene fra APT27 stoler imidlertid ikke bare på spesialbygde hackingverktøy. APT27, som mange andre APT-er, bruker også legitime tjenester for sine ondsinnede operasjoner, så vel som offentlig tilgjengelige hackingverktøy.

APT27 har angrepet en rekke mål av en rekke årsaker, fra å stjele data om banebrytende teknologier til å spionere på sivile grupper og dissidenter for regjeringen.

Emissary Panda bruker lett tilgjengelige verktøy som legitimasjon, verktøy og tjenester som er hjemmehørende i målet, og tilpasset skadelig programvare utviklet for angrep. Gruppen fokuserer på å opprettholde en tilstedeværelse på de kompromitterte systemene over en lengre periode.

Gruppen ble observert å returnere til kompromitterte nettverk omtrent hver tredje måned for å bekrefte at de fortsatt hadde tilgang, oppdatere tilgang hvis den hadde gått tapt, og finne flere data av interesse for angrepet.

APT27 Demonstrerer hva som er gammelt er nytt igjen

I fjor ble gruppen sett i bruk oppdaterte versjoner av den eksterne tilgang Trojan (RAT) ZxShell. ZxShell ble først utviklet i 2006, med kildekoden for programmet utgitt året etter i 2007. Skadevaren har HTran-pakkeomdirigering innebygd og ble signert med et digitalt sertifikat tilhørende Hangzhou Shunwang Technology Co., samt en digitalt sertifikat for Shanghai Hintsoft Co., Ltd.

APT27 sto sannsynligvis også bak en modifisert versjon av Gh0st RAT distribuert i 2018. Kildekoden for den originale Gh0st RAT er også tilgjengelig online. Den oppdaterte versjonen ble brukt mot flere systemer i et kompromittert nettverk. Prøven oppdaget av forskere kommuniserer på TCP-port 443 gjennom en tilpasset binær protokoll, med modifiserte overskrifter for bedre å skjule nettverkstrafikkkommunikasjon.

Ikke fornøyd med å bruke verktøy funnet på nettet, APT27 har også utviklet og brukt sitt eget utvalg av proprietære fjerntilgangsverktøy. Disse verktøyene, som HyperBro og SysUpdate, har gått rundt siden 2016.

SysUpdate er en slags flertrinns skadelig programvare og brukes kun av utsending Panda. Skadevaren leveres gjennom flere metoder, for eksempel ondsinnede Word-dokumenter som bruker Dynamic Data Exchange (DDE), manuell distribusjon gjennom stjålet legitimasjon, og nettviderekoblinger og strategisk nettkompromittering (SWC).

APT27 Implementering og spredning av skadelig programvare

Uansett distribusjon, installeres den første nyttelasten gjennom en selvutpakkende (SFX) WinRAR-fil som installerer den første nyttelasten for SysUpdate. Det første trinnet oppnår utholdenhet på maskinen før du installerer nyttelasten i andre trinn, kjent som SysUpdate Main. Skadevaren kommuniserer over HTTP og laster ned kode for å injisere i svchost.exe.

SysUpdate Main gir angripere en rekke funksjoner for fjerntilgang. RAT lar hackere få tilgang til og administrere filer og prosesser på maskinen, samhandle med forskjellige tjenester, starte et kommandoskall, ta skjermbilder og laste opp og laste ned annen skadelig programvare etter behov.

SysUpdate er en bemerkelsesverdig fleksibel skadelig programvare som kan utvides eller reduseres etter behov gjennom andre nyttelastfiler. Evnen til å effektivt kontrollere tilstedeværelsen av viruset gjør at hackerne kan skjule sine fulle evner, ifølge sikkerhetsforskere.

Trusselaktørene kan utnytte sine proprietære verktøy under en sofistikert inntrenging. Disse verktøyene gir dem mer kontroll med redusert risiko for oppdagelse. Trusselaktørene ser ut til å få tilgang til nettverk ved hjelp av allment tilgjengelige verktøy. Når de først er på systemet, kan de omgå sikkerhetskontroller, få tilgang til et mer betydelig sett med privilegier og tillatelser og opprettholde tilgang til systemer med høy verdi på lang sikt. Jo lenger APT27 bruker på et målnettverk, jo mer potensiell skade kan den gjøre. I verste fall kan gruppen ha en tilstedeværelse på et system i årevis, samle massevis av sensitiv informasjon og forårsake all slags skade.

Et av de mer populære spesiallagde hackingverktøyene som ble utviklet av APT27 er SysUpdate- trusselen. Dette er en RAT (Remote Access Trojan) som APT27 ser ut til å spre via falske spam-e-poster og forsyningskjedeangrep. Eksperter på skadelig programvare mener at cyberskurkene også kan installere SysUpdate RAT på målrettede verter manuelt, forutsatt at de har infiltrert dem tidligere. Denne spesifikke RAT har en modulær struktur. Dette betyr at APT27 kan plante en grunnleggende kopi av trusselen på den kompromitterte datamaskinen, og deretter legge til flere funksjoner til den, og bevæpne RAT ytterligere.

APT27 ser ut til å være en veldig fleksibel hackergruppe – både med hensyn til forplantningsmetodene de bruker og det store utvalget av verktøy de distribuerer. Dette gjør APT27 til en ganske truende gruppe cyberskurker, som ikke bør undervurderes.