APT27

APT27 (Advanced Persistent Threat) एक ह्याकिङ समूहको नाम हो जुन चीनबाट उत्पन्न हुन्छ र उच्च-प्रोफाइल लक्ष्यहरू पछ्याउँछ। APT27 लाई विभिन्न अन्य उपनामहरू अन्तर्गत पनि चिनिन्छ, जसमा Emissary Panda, LuckyMouse र BronzeUnion समावेश छन्। APT27 द्वारा संचालित सबैभन्दा प्रसिद्ध अभियानहरू मध्ये संयुक्त राज्य अमेरिकाको रक्षा ठेकेदारहरूलाई लक्षित गर्ने तिनीहरूको आक्रमण हो। APT27 द्वारा अन्य लोकप्रिय अपरेसनहरूमा वित्तीय क्षेत्रमा कार्यरत धेरै कम्पनीहरू विरुद्धको अभियान, साथै मध्य एशियामा अवस्थित डाटा सेन्टर विरुद्ध गरिएको आक्रमण समावेश छ। APT27 को हतियारमा ह्याकिङ उपकरणहरूमा धम्कीहरू समावेश छन् जसले तिनीहरूलाई टोही कार्यहरू सञ्चालन गर्न, संक्रमित होस्टबाट संवेदनशील फाइलहरू सङ्कलन गर्न वा सम्झौता प्रणाली कब्जा गर्न अनुमति दिनेछ।

साइबरसुरक्षा अनुसन्धानकर्ताहरूले पहिलो पटक 2010 मा APT27 को गतिविधि देखे र त्यसबेलादेखि नै यसलाई नजिकबाट हेरिरहेका छन्। तिनीहरू पहिलो पटक देखिएदेखि, APT27 ले विभिन्न प्रमुख उद्योगहरूमा सञ्चालन गर्ने लक्ष्यहरूलाई सम्झौता गर्न व्यवस्थित गरेको छ:

• सरकार।
• रक्षा।
• प्रविधि।
• ऊर्जा।
• निर्माण।
• एयरोस्पेस।

APT27 को ह्याकिङ शस्त्रागारमा सबैभन्दा धेरै प्रयोग गरिएका उपकरणहरू मध्ये Gh0st RAT , ZXShell र HyperBro हुन् । यद्यपि, APT27 बाट साइबर बदमाशहरू केवल अनुकूलन-निर्मित ह्याकिङ उपकरणहरूमा भर पर्दैनन्। APT27, धेरै अन्य APTs जस्तै, तिनीहरूको नराम्रो कार्यहरूका लागि वैध सेवाहरू, साथै सार्वजनिक रूपमा उपलब्ध ह्याकिङ उपकरणहरू पनि प्रयोग गर्दछ।

APT27 ले अत्याधुनिक प्रविधिहरूमा डाटा चोरी गर्नेदेखि लिएर सरकारका लागि नागरिक समूह र असन्तुष्टहरूमाथि जासुसी गर्ने विभिन्न कारणहरूका लागि लक्ष्यहरूको दायरामा आक्रमण गरेको छ।

Emissary Panda ले सहज रूपमा उपलब्ध उपकरणहरू जस्तै प्रमाणहरू, उपकरणहरू, र लक्ष्यका लागि नेटिभ सेवाहरू, र आक्रमणहरूको लागि विकसित कस्टम मालवेयर प्रयोग गर्दछ। समूहले विस्तारित अवधिको लागि सम्झौता प्रणालीहरूमा उपस्थिति कायम राख्नमा ध्यान केन्द्रित गर्दछ।

समूहले लगभग हरेक तीन महिनामा सम्झौता गरिएका नेटवर्कहरूमा फर्केको देखियो कि तिनीहरूसँग अझै पहुँच छ भनेर प्रमाणित गर्न, पहुँच हराएको खण्डमा पुन: ताजा गर्न, र आक्रमणको रुचिको थप डेटा फेला पार्न।

APT27 ले पुरानो कुरा फेरि नयाँ छ भनेर देखाउँछ

गत वर्ष, समूहले रिमोट एक्सेस ट्रोजन (RAT) ZxShell को अद्यावधिक संस्करणहरू तैनात गरेको देखियो। ZxShell पहिलो पटक 2006 मा विकसित भएको थियो, कार्यक्रमको स्रोत कोडको साथ अर्को वर्ष 2007 मा जारी गरिएको थियो। मालवेयरमा HTran प्याकेट रिडायरेक्शन बिल्ट-इन छ र हांग्जो शुन्वाङ टेक्नोलोजी कम्पनीसँग सम्बन्धित डिजिटल प्रमाणपत्रको साथ हस्ताक्षर गरिएको थियो। Shanghai Hintsoft Co., Ltd को लागि डिजिटल प्रमाणपत्र।

2018 मा तैनाथ गरिएको Gh0st RAT को परिमार्जित संस्करणको पछाडि APT27 पनि थियो। मूल Gh0st RAT को स्रोत कोड अनलाइन पनि उपलब्ध छ। अपडेट गरिएको संस्करण सम्झौता गरिएको नेटवर्कमा धेरै प्रणालीहरू विरुद्ध प्रयोग गरिएको थियो। शोधकर्ताहरूले देखेको नमूनाले TCP पोर्ट 443 मा अनुकूलन बाइनरी प्रोटोकल मार्फत संचार गर्दछ, नेटवर्क ट्राफिक संचारलाई राम्रोसँग लुकाउन परिमार्जित हेडरहरूको साथ।

अनलाइन पाइने उपकरणहरू प्रयोग गर्नमा सामग्री छैन, APT27 ले आफ्नै स्वामित्व रिमोट पहुँच उपकरणहरूको आफ्नै दायरा पनि विकास र रोजगार गरेको छ। यी उपकरणहरू, जस्तै HyperBro र SysUpdate, 2016 देखि राउन्ड बनाउँदै छन्।

SysUpdate एक प्रकारको बहु-चरण मालवेयर हो र Emissary Panda द्वारा मात्र प्रयोग गरिन्छ। मालवेयर धेरै विधिहरू मार्फत डेलिभर गरिएको छ, जस्तै डायनामिक डाटा एक्सचेन्ज (DDE) प्रयोग गरेर मालिसियस वर्ड कागजातहरू, चोरी प्रमाणहरू मार्फत म्यानुअल डिप्लोइमेन्ट, र वेब रिडिरेक्टहरू, र रणनीतिक वेब सम्झौता (SWC)।

APT27 मालवेयर डिप्लोइमेन्ट र स्प्रेड

डिप्लोइमेन्टमा कुनै फरक पर्दैन, पहिलो पेलोड सेल्फ एक्स्ट्र्याक्टिङ (SFX) WinRAR फाइल मार्फत स्थापित हुन्छ जसले SysUpdate को लागि पहिलो चरणको पेलोड स्थापना गर्दछ। पहिलो चरणले दोस्रो चरणको पेलोड स्थापना गर्नु अघि मेसिनमा दृढता प्राप्त गर्दछ, जसलाई SysUpdate Main भनिन्छ। मालवेयरले HTTP मार्फत सञ्चार गर्छ र svchost.exe मा इन्जेक्सन गर्न कोड डाउनलोड गर्छ।

SysUpdate Main ले आक्रमणकारीहरूलाई टाढाको पहुँच क्षमताहरूको दायरा प्रदान गर्दछ। RAT ले ह्याकरहरूलाई मेसिनमा फाइलहरू र प्रक्रियाहरू पहुँच गर्न र व्यवस्थापन गर्न, विभिन्न सेवाहरूसँग अन्तर्क्रिया गर्न, कमाण्ड शेल सुरु गर्न, स्क्रिनसटहरू लिन, र आवश्यकता अनुसार अन्य मालवेयर अपलोड र डाउनलोड गर्न अनुमति दिन्छ।

SysUpdate एक उल्लेखनीय लचिलो मालवेयर हो जुन अन्य पेलोड फाइलहरू मार्फत आवश्यकता अनुसार विस्तार वा घटाउन सकिन्छ। सुरक्षा अनुसन्धानकर्ताहरूका अनुसार भाइरसको उपस्थितिलाई प्रभावकारी रूपमा नियन्त्रण गर्ने क्षमताले ह्याकरहरूलाई आफ्नो पूर्ण क्षमता लुकाउन अनुमति दिन्छ।

धम्की अभिनेताहरूले परिष्कृत घुसपैठको समयमा तिनीहरूको स्वामित्व उपकरणहरू प्रयोग गर्न सक्छन्। यी उपकरणहरूले तिनीहरूलाई पत्ता लगाउने कम जोखिममा थप नियन्त्रण दिन्छ। खतरा अभिनेताहरूले व्यापक रूपमा उपलब्ध उपकरणहरू प्रयोग गरेर नेटवर्कहरूमा पहुँच प्राप्त गरेको देखिन्छ। एकचोटि तिनीहरू प्रणालीमा पुगेपछि, तिनीहरूले सुरक्षा नियन्त्रणहरू रोक्न सक्छन्, विशेषाधिकार र अनुमतिहरूको थप महत्त्वपूर्ण सेटमा पहुँच प्राप्त गर्न सक्छन्, र दीर्घकालीन रूपमा उच्च-मूल्य प्रणालीहरूमा पहुँच कायम राख्न सक्छन्। APT27 ले लक्षित नेटवर्कमा जति लामो समय खर्च गर्छ, त्यति नै बढी सम्भावित क्षतिले गर्न सक्छ। सबैभन्दा नराम्रो अवस्थामा, समूहले वर्षौंसम्म प्रणालीमा उपस्थिति हुन सक्छ, धेरै संवेदनशील जानकारी सङ्कलन गर्दै र सबै प्रकारका क्षतिहरू निम्त्याउन सक्छ।

APT27 द्वारा विकसित गरिएको अधिक लोकप्रिय कस्टम-सिर्जित ह्याकिङ उपकरणहरू मध्ये एक SysUpdate खतरा हो। यो RAT (रिमोट एक्सेस ट्रोजन) हो जुन APT27 नक्कली स्प्याम इमेलहरू र आपूर्ति-श्रृंखला आक्रमणहरू मार्फत प्रचार गरिएको देखिन्छ। मालवेयर विशेषज्ञहरूले विश्वास गर्छन् कि साइबर बदमाशहरूले लक्षित होस्टहरूमा म्यानुअल रूपमा SysUpdate RAT स्थापना गर्न सक्छन्, बशर्ते उनीहरूले पहिले नै घुसपैठ गरेका थिए। यो विशिष्ट RAT मा एक मोड्युलर संरचना छ। यसको मतलब यो हो कि APT27 ले खतराको आधारभूत प्रतिलिपि सम्झौता भएको कम्प्युटरमा रोप्न सक्छ, र त्यसपछि यसमा थप सुविधाहरू थप्न सक्छ, RAT लाई थप हतियार बनाउँछ।

APT27 एक धेरै लचिलो ह्याकिङ समूह जस्तो देखिन्छ - दुबै तिनीहरूले प्रयोग गर्ने प्रचार विधिहरू र तिनीहरूले प्रयोग गर्ने उपकरणहरूको विस्तृत विविधताको सन्दर्भमा। यसले APT27 लाई साइबर बदमाशहरूको बरु डरलाग्दो समूह बनाउँछ, जसलाई कम आँकलन गर्नु हुँदैन।