APT27

APT27 (Advanced Persistent Threat) este numele unui grup de hacking care provine din China și tinde să urmărească ținte de profil înalt. APT27 este cunoscut și sub diferite alte pseudonime, inclusiv Emissary Panda, LuckyMouse și BronzeUnion. Printre cele mai cunoscute campanii desfășurate de APT27 se numără atacurile lor care vizează contractorii de apărare ai Statelor Unite. Alte operațiuni populare ale APT27 includ o campanie împotriva unui număr de companii care operează în sectorul financiar, precum și un atac lansat împotriva unui centru de date situat în Asia Centrală. Instrumentele de hacking din armamentul APT27 includ amenințări care le-ar permite să efectueze operațiuni de recunoaștere, să colecteze fișiere sensibile de la gazda infectată sau să preia sistemul compromis.

Cercetătorii în domeniul securității cibernetice au observat pentru prima dată activitatea APT27 în 2010 și de atunci au urmărit-o îndeaproape. De când au fost observați pentru prima dată, APT27 a reușit să compromită ținte care operează într-o varietate de industrii cheie:

• Guvern.
• Apărare.
• Tehnologie.
• Energie.
• De fabricație.
• Aerospațial.

Printre cele mai utilizate instrumente din arsenalul de hacking al APT27 se numără Gh0st RAT , ZXShell și HyperBro . Cu toate acestea, escrocii cibernetici de la APT27 nu se bazează doar pe instrumente de hacking personalizate. APT27, la fel ca multe alte APT-uri, utilizează, de asemenea, servicii legitime pentru operațiunile lor nefaste, precum și instrumente de hacking disponibile public.

APT27 a atacat o serie de ținte dintr-o varietate de motive, de la furtul de date despre tehnologii de ultimă oră până la spionarea grupurilor civile și a dizidenților pentru guvern.

Emissary Panda utilizează instrumente ușor disponibile, cum ar fi acreditările, instrumentele și serviciile native pentru țintă, precum și programe malware personalizate dezvoltate pentru atacuri. Grupul se concentrează pe menținerea prezenței pe sistemele compromise pentru o perioadă lungă de timp.

S-a observat că grupul revine la rețelele compromise aproximativ o dată la trei luni pentru a verifica dacă mai aveau acces, pentru a reîmprospăta accesul dacă acesta a fost pierdut și pentru a găsi mai multe date de interes pentru atac.

APT27 Demonstrează ce este vechi este din nou nou

Anul trecut, grupul a fost văzut implementând versiuni actualizate ale trojanului de acces la distanță (RAT) ZxShell. ZxShell a fost dezvoltat pentru prima dată în 2006, cu codul sursă pentru program lansat în anul următor, în 2007. Malware-ul are redirecționarea pachetului HTran încorporată și a fost semnat cu un certificat digital aparținând Hangzhou Shunwang Technology Co., precum și un certificat digital pentru Shanghai Hintsoft Co., Ltd.

APT27 a fost, de asemenea, probabil în spatele unei versiuni modificate a Gh0st RAT implementată în 2018. Codul sursă pentru Gh0st RAT original este, de asemenea, disponibil online. Versiunea actualizată a fost utilizată împotriva mai multor sisteme dintr-o rețea compromisă. Eșantionul observat de cercetători comunică pe portul TCP 443 printr-un protocol binar personalizat, cu anteturi modificate pentru a ascunde mai bine comunicațiile de trafic de rețea.

Nemulțumit de utilizarea instrumentelor găsite online, APT27 a dezvoltat și folosit, de asemenea, propria sa gamă de instrumente proprietare de acces la distanță. Aceste instrumente, cum ar fi HyperBro și SysUpdate, circulă din 2016.

SysUpdate este un fel de malware în mai multe etape și este folosit doar de Emissary Panda. Malware-ul este livrat prin mai multe metode, cum ar fi documente Word rău intenționate folosind Dynamic Data Exchange (DDE), implementare manuală prin acreditări furate și redirecționări web și compromis strategic web (SWC).

Implementarea și răspândirea programelor malware APT27

Indiferent de implementare, prima sarcină utilă este instalată printr-un fișier WinRAR auto-extractabil (SFX) care instalează sarcina utilă din prima etapă pentru SysUpdate. Prima etapă atinge persistența pe mașină înainte de a instala încărcarea utilă din a doua etapă, cunoscută sub numele de SysUpdate Main. Malware-ul comunică prin HTTP și descarcă cod pentru a-l injecta în svchost.exe.

SysUpdate Main oferă atacatorilor o gamă largă de capabilități de acces la distanță. RAT permite hackerilor să acceseze și să gestioneze fișierele și procesele de pe mașină, să interacționeze cu diferite servicii, să lanseze un shell de comandă, să facă capturi de ecran și să încarce și să descarce alte programe malware, după cum este necesar.

SysUpdate este un malware remarcabil de flexibil, care poate fi extins sau diminuat, după cum este necesar, prin alte fișiere de încărcare utilă. Capacitatea de a controla eficient prezența virusului permite hackerilor să-și ascundă capacitățile complete, potrivit cercetătorilor de securitate.

Actorii amenințărilor își pot folosi instrumentele proprietare în timpul unei intruziuni sofisticate. Aceste instrumente le oferă mai mult control cu un risc redus de detectare. Actorii amenințărilor par să obțină acces la rețele folosind instrumente disponibile pe scară largă. Odată ce sunt în sistem, pot ocoli controalele de securitate, pot obține acces la un set mai semnificativ de privilegii și permisiuni și pot menține accesul la sisteme de mare valoare pe termen lung. Cu cât APT27 cheltuiește mai mult pe o rețea țintă, cu atât poate provoca mai multe daune potențiale. În cel mai rău caz, grupul ar putea avea o prezență într-un sistem de ani de zile, colectând o mulțime de informații sensibile și provocând tot felul de daune.

Unul dintre cele mai populare instrumente de hacking create la comandă care a fost dezvoltat de APT27 este amenințarea SysUpdate. Acesta este un troian RAT (Remote Access Troian) pe care APT27 pare să îl propagă prin e-mailuri de spam false și atacuri ale lanțului de aprovizionare. Experții în malware cred că escrocii cibernetici pot instala manual SysUpdate RAT pe gazdele vizate, cu condiția să fi infiltrat anterior. Acest RAT specific are o structură modulară. Aceasta înseamnă că APT27 poate instala o copie de bază a amenințării pe computerul compromis și apoi poate adăuga mai multe funcții la acesta, armonzând și mai mult RAT.

APT27 pare a fi un grup de hacking foarte flexibil – atât în ceea ce privește metodele de propagare pe care le utilizează, cât și varietatea largă de instrumente pe care le implementează. Acest lucru face din APT27 un grup destul de amenințător de escroci cibernetici, care nu ar trebui subestimați.