APT27

APT27 (Advanced Persistent Threat) to nazwa grupy hakerskiej, która wywodzi się z Chin i ma tendencję do ścigania głośnych celów. APT27 jest również znany pod różnymi innymi aliasami, w tym Emissary Panda, LuckyMouse i BronzeUnion. Wśród najbardziej znanych kampanii prowadzonych przez APT27 znajdują się ich ataki wymierzone w wykonawców obrony Stanów Zjednoczonych. Inne popularne operacje APT27 to kampania przeciwko wielu firmom działającym w sektorze finansowym, a także atak na centrum danych zlokalizowane w Azji Środkowej. Narzędzia hakerskie znajdujące się w uzbrojeniu APT27 obejmują zagrożenia, które pozwoliłyby im na przeprowadzenie operacji rozpoznawczych, zbieranie wrażliwych plików z zainfekowanego hosta lub przejęcie zaatakowanego systemu.

Badacze cyberbezpieczeństwa po raz pierwszy zauważyli aktywność APT27 w 2010 roku i od tego czasu uważnie ją śledzą. Odkąd zostały zauważone po raz pierwszy, APT27 zdołał skompromitować cele, które działają w różnych kluczowych branżach:

• Rząd.
• Obrona.
• Technologia.
• Energia.
• Produkcja.
• Lotnictwo.

Do najczęściej wykorzystywanych narzędzi w arsenale hakerskim APT27 należą Gh0st RAT , ZXShell i HyperBro . Jednak cyberprzestępcy z APT27 nie polegają tylko na niestandardowych narzędziach hakerskich. APT27, podobnie jak wiele innych APT, również wykorzystuje legalne usługi do swoich nikczemnych operacji, a także publicznie dostępne narzędzia hakerskie.

APT27 zaatakował szereg celów z różnych powodów, od kradzieży danych dotyczących najnowocześniejszych technologii po szpiegowanie grup cywilnych i dysydentów dla rządu.

Emissary Panda wykorzystuje łatwo dostępne narzędzia, takie jak dane uwierzytelniające, narzędzia i usługi natywne dla celu, a także niestandardowe złośliwe oprogramowanie opracowane do ataków. Grupa koncentruje się na utrzymywaniu obecności na zaatakowanych systemach przez dłuższy czas.

Zaobserwowano, że grupa powraca do zhakowanych sieci mniej więcej co trzy miesiące, aby sprawdzić, czy nadal ma dostęp, odświeżyć dostęp, jeśli został utracony, i znaleźć więcej danych interesujących atak.

APT27 demonstruje, co stare, znów jest nowe

W zeszłym roku zaobserwowano, że grupa ta wdrażała zaktualizowane wersje trojana zdalnego dostępu (RAT) ZxShell. ZxShell został opracowany po raz pierwszy w 2006 roku, a kod źródłowy programu został wydany w następnym roku w 2007. Szkodnik ma wbudowane przekierowanie pakietów HTran i jest podpisany cyfrowym certyfikatem należącym do Hangzhou Shunwang Technology Co. certyfikat cyfrowy dla Shanghai Hintsoft Co., Ltd.

APT27 prawdopodobnie również stał za zmodyfikowaną wersją Gh0st RAT wdrożoną w 2018 roku. Kod źródłowy oryginalnego Gh0st RAT jest również dostępny online. Zaktualizowana wersja została użyta przeciwko kilku systemom w zaatakowanej sieci. Próbka zauważona przez badaczy komunikuje się na porcie TCP 443 za pośrednictwem niestandardowego protokołu binarnego ze zmodyfikowanymi nagłówkami, aby lepiej ukryć komunikację w sieci.

Niezadowolony z używania narzędzi znalezionych w Internecie, APT27 również opracował i zastosował własną gamę zastrzeżonych narzędzi zdalnego dostępu. Te narzędzia, takie jak HyperBro i SysUpdate, krążą od 2016 roku.

SysUpdate to rodzaj wieloetapowego złośliwego oprogramowania i jest używany tylko przez Emissary Panda. Złośliwe oprogramowanie jest dostarczane za pomocą kilku metod, takich jak złośliwe dokumenty Word przy użyciu dynamicznej wymiany danych (DDE), ręczne wdrażanie za pomocą skradzionych danych uwierzytelniających i przekierowań internetowych oraz strategiczne włamanie do sieci (SWC).

Wdrażanie i rozpowszechnianie złośliwego oprogramowania APT27

Bez względu na wdrożenie, pierwszy ładunek jest instalowany za pomocą samorozpakowującego się pliku (SFX) WinRAR, który instaluje ładunek pierwszego etapu dla SysUpdate. Pierwszy etap zapewnia trwałość na komputerze przed zainstalowaniem ładunku drugiego etapu, znanego jako SysUpdate Main. Złośliwe oprogramowanie komunikuje się przez HTTP i pobiera kod w celu wstrzyknięcia do svchost.exe.

SysUpdate Main zapewnia atakującym szereg możliwości zdalnego dostępu. RAT umożliwia hakerom dostęp i zarządzanie plikami i procesami na komputerze, interakcję z różnymi usługami, uruchamianie powłoki poleceń, wykonywanie zrzutów ekranu oraz przesyłanie i pobieranie innego złośliwego oprogramowania w razie potrzeby.

SysUpdate to niezwykle elastyczne złośliwe oprogramowanie, które można w razie potrzeby rozszerzać lub zmniejszać za pomocą innych plików ładunku. Według badaczy bezpieczeństwa zdolność do skutecznego kontrolowania obecności wirusa pozwala hakerom ukryć swoje pełne możliwości.

Cyberprzestępcy mogą wykorzystać swoje zastrzeżone narzędzia podczas wyrafinowanego włamania. Narzędzia te zapewniają im większą kontrolę przy zmniejszonym ryzyku wykrycia. Wydaje się, że cyberprzestępcy uzyskują dostęp do sieci za pomocą powszechnie dostępnych narzędzi. Gdy już znajdą się w systemie, mogą obejść kontrole bezpieczeństwa, uzyskać dostęp do bardziej znaczącego zestawu uprawnień i uprawnień oraz utrzymać dostęp do systemów o wysokiej wartości w perspektywie długoterminowej. Im dłużej APT27 spędza na docelowej sieci, tym więcej potencjalnych szkód może wyrządzić. W najgorszym przypadku grupa może być obecna w systemie przez lata, zbierając mnóstwo poufnych informacji i powodując wszelkiego rodzaju szkody.

Jednym z bardziej popularnych narzędzi hakerskich stworzonych na zamówienie, opracowanych przez APT27, jest zagrożenie SysUpdate. Jest to RAT (trojan zdalnego dostępu), który APT27 wydaje się propagować za pośrednictwem fałszywych wiadomości spamowych i ataków w ramach łańcucha dostaw. Eksperci od złośliwego oprogramowania uważają, że cyberprzestępcy mogą również ręcznie zainstalować SysUpdate RAT na docelowych hostach, pod warunkiem, że wcześniej je infiltrowali. Ten konkretny RAT ma budowę modułową. Oznacza to, że APT27 może umieścić podstawową kopię zagrożenia na zaatakowanym komputerze, a następnie dodać do niego więcej funkcji, jeszcze bardziej wzmacniając RAT.

APT27 wydaje się być bardzo elastyczną grupą hakerską – zarówno pod względem stosowanych przez nich metod propagacji, jak i szerokiej gamy stosowanych narzędzi. To sprawia, że APT27 jest dość groźną grupą cyberprzestępców, których nie należy lekceważyć.