APT27

APT27 (Advanced Persistent Threat) is de naam van een hackgroep die afkomstig is uit China en de neiging heeft om achter spraakmakende doelen aan te gaan. De APT27 is ook bekend onder verschillende andere aliassen, waaronder Emissary Panda, LuckyMouse en BronzeUnion. Een van de meest bekende campagnes die door de APT27 zijn uitgevoerd, zijn hun aanvallen gericht op Amerikaanse defensie-aannemers. Andere populaire operaties van de APT27 zijn onder meer een campagne tegen een aantal bedrijven die actief zijn in de financiële sector, evenals een aanval op een datacenter in Centraal-Azië. De hacktools in de wapens van de APT27 bevatten bedreigingen waarmee ze verkenningsoperaties kunnen uitvoeren, gevoelige bestanden van de geïnfecteerde host kunnen verzamelen of het gecompromitteerde systeem kunnen overnemen.

Cybersecurity-onderzoekers zagen de activiteit van de APT27 voor het eerst in 2010 en houden het sindsdien nauwlettend in de gaten. Sinds ze voor het eerst werden opgemerkt, is de APT27 erin geslaagd doelen te compromitteren die in verschillende belangrijke industrieën actief zijn:

• Regering.
• Verdediging.
• Technologie.
• Energie.
• Productie.
• Ruimtevaart.

Een van de meest gebruikte tools in het hackarsenaal van de APT27 zijn de Gh0st RAT , ZXShell en HyperBro . De cybercriminelen van de APT27 vertrouwen echter niet alleen op op maat gemaakte hacktools. De APT27 maakt, net als veel andere APT's, ook gebruik van legitieme services voor hun snode operaties, evenals openbaar beschikbare hacktools.

APT27 heeft om verschillende redenen een reeks doelen aangevallen, van het stelen van gegevens over geavanceerde technologieën tot het bespioneren van burgergroepen en dissidenten voor de regering.

Emissary Panda gebruikt direct beschikbare tools zoals inloggegevens, tools en services die eigen zijn aan het doelwit, en aangepaste malware die is ontwikkeld voor aanvallen. De groep richt zich op het gedurende langere tijd aanwezig blijven op de gecompromitteerde systemen.

De groep keerde ongeveer elke drie maanden terug naar gecompromitteerde netwerken om te controleren of ze nog steeds toegang hadden, de toegang te vernieuwen als deze verloren was gegaan en meer gegevens te vinden die van belang zijn voor de aanval.

APT27 laat zien wat oud is, is weer nieuw

Vorig jaar werd de groep gezien met het implementeren van bijgewerkte versies van de RAT (remote access Trojan) ZxShell. ZxShell werd voor het eerst ontwikkeld in 2006, en de broncode voor het programma werd het jaar daarop in 2007 uitgebracht. De malware heeft de HTran-pakketomleiding ingebouwd en is ondertekend met een digitaal certificaat van Hangzhou Shunwang Technology Co., evenals een digitaal certificaat voor Shanghai Hintsoft Co., Ltd.

APT27 zat waarschijnlijk ook achter een aangepaste versie van de Gh0st RAT die in 2018 werd ingezet. De broncode voor de originele Gh0st RAT is ook online beschikbaar. De bijgewerkte versie werd gebruikt tegen verschillende systemen in een gecompromitteerd netwerk. Het monster dat door onderzoekers is gespot, communiceert op TCP-poort 443 via een aangepast binair protocol, met aangepaste headers om netwerkverkeerscommunicatie beter te verbergen.

APT27 is niet tevreden met het gebruik van online tools, maar heeft ook een eigen reeks eigen tools voor externe toegang ontwikkeld en gebruikt. Deze tools, zoals HyperBro en SysUpdate, doen sinds 2016 de ronde.

SysUpdate is een soort multi-stage malware en wordt alleen gebruikt door Emissary Panda. De malware wordt geleverd via verschillende methoden, zoals kwaadaardige Word-documenten met behulp van Dynamic Data Exchange (DDE), handmatige implementatie via gestolen inloggegevens en webomleidingen en strategische webcompromissen (SWC).

APT27 Malware-implementatie en verspreiding

Ongeacht de implementatie wordt de eerste payload geïnstalleerd via een zelfuitpakkend (SFX) WinRAR-bestand dat de eerste fase-payload voor SysUpdate installeert. De eerste fase zorgt voor persistentie op de machine voordat de payload van de tweede fase wordt geïnstalleerd, bekend als SysUpdate Main. De malware communiceert via HTTP en downloadt code om in svchost.exe te injecteren.

SysUpdate Main biedt aanvallers een reeks mogelijkheden voor externe toegang. Met de RAT kunnen hackers toegang krijgen tot bestanden en processen op de machine en deze beheren, communiceren met verschillende services, een opdrachtshell starten, screenshots maken en indien nodig andere malware uploaden en downloaden.

SysUpdate is een opmerkelijk flexibele malware die naar behoefte kan worden uitgebreid of verminderd via andere payload-bestanden. Het vermogen om de aanwezigheid van het virus effectief te controleren, stelt de hackers in staat om hun volledige capaciteiten te verbergen, aldus beveiligingsonderzoekers.

De dreigingsactoren kunnen hun eigen tools gebruiken tijdens een geavanceerde inbraak. Deze tools geven hen meer controle met een verminderd risico op detectie. De dreigingsactoren lijken toegang te krijgen tot netwerken met behulp van algemeen beschikbare tools. Als ze eenmaal op het systeem zijn, kunnen ze beveiligingscontroles omzeilen, toegang krijgen tot een grotere reeks privileges en machtigingen en op de lange termijn toegang houden tot hoogwaardige systemen. Hoe langer APT27 aan een doelnetwerk besteedt, hoe meer potentiële schade het kan aanrichten. In het ergste geval kan de groep jarenlang op een systeem aanwezig zijn, veel gevoelige informatie verzamelen en allerlei soorten schade aanrichten.

Een van de meer populaire, op maat gemaakte hacktools die is ontwikkeld door de APT27, is de SysUpdate- dreiging. Dit is een RAT (Remote Access Trojan) die de APT27 lijkt te verspreiden via valse spam-e-mails en supply chain-aanvallen. Malware-experts zijn van mening dat de cybercriminelen de SysUpdate RAT ook handmatig op gerichte hosts kunnen installeren, op voorwaarde dat ze deze eerder hadden geïnfiltreerd. Deze specifieke RAT is modulair opgebouwd. Dit betekent dat de APT27 een basiskopie van de dreiging op de besmette computer kan plaatsen en er vervolgens meer functies aan kan toevoegen, waardoor de RAT verder wordt bewapend.

De APT27 lijkt een zeer flexibele hackgroep te zijn - zowel wat betreft de verspreidingsmethoden die ze gebruiken als de grote verscheidenheid aan tools die ze inzetten. Dit maakt de APT27 tot een nogal bedreigende groep cybercriminelen, die niet mag worden onderschat.