АПТ27

APT27 (Advanced Persistent Threat) — это название хакерской группы, созданной в Китае и преследующей высокопоставленные цели. APT27 также известен под другими псевдонимами, включая Emissary Panda, LuckyMouse и BronzeUnion. Среди самых известных кампаний, проведенных APT27, — их атаки на оборонных подрядчиков США. Среди других популярных операций APT27 — кампания против ряда компаний, работающих в финансовом секторе, а также атака на дата-центр, расположенный в Центральной Азии. Хакерские инструменты в арсенале APT27 включают угрозы, которые позволяют им проводить разведывательные операции, собирать конфиденциальные файлы с зараженного хоста или захватывать скомпрометированную систему.

Исследователи кибербезопасности впервые заметили активность APT27 в 2010 году и с тех пор пристально следят за ней. С тех пор, как они были впервые обнаружены, APT27 удалось скомпрометировать цели, которые работают в различных ключевых отраслях:

• Правительство.
• Защита.
• Технологии.
• Энергия.
• Производство.
• Аэрокосмическая промышленность.

Среди наиболее часто используемых инструментов в хакерском арсенале APT27 — Gh0st RAT , ZXShell и HyperBro . Однако кибер-мошенники из APT27 полагаются не только на специально созданные хакерские инструменты. APT27, как и многие другие APT, также использует законные сервисы для своих гнусных операций, а также общедоступные хакерские инструменты.

APT27 атаковал ряд целей по разным причинам, от кражи данных о передовых технологиях до шпионажа за гражданскими группами и диссидентами в пользу правительства.

Emissary Panda использует легкодоступные инструменты, такие как учетные данные, инструменты и службы, встроенные в цель, а также специальные вредоносные программы, разработанные для атак. Группа сосредоточена на поддержании присутствия на скомпрометированных системах в течение длительного периода времени.

Было замечено, что группа возвращалась к скомпрометированным сетям примерно каждые три месяца, чтобы убедиться, что у них все еще есть доступ, обновить доступ, если он был потерян, и найти больше данных, представляющих интерес для атаки.

APT27 демонстрирует, что старое снова становится новым

В прошлом году группа была замечена за развертыванием обновленных версий троянца удаленного доступа (RAT) ZxShell. ZxShell был впервые разработан в 2006 году, а исходный код программы был выпущен в следующем, 2007 году. Вредоносная программа имеет встроенную функцию перенаправления пакетов HTran и была подписана цифровым сертификатом, принадлежащим Hangzhou Shunwang Technology Co., а также цифровой сертификат для Shanghai Hintsoft Co., Ltd.

APT27 также, вероятно, стоял за модифицированной версией Gh0st RAT, развернутой в 2018 году. Исходный код оригинальной Gh0st RAT также доступен в Интернете. Обновленная версия использовалась против нескольких систем в скомпрометированной сети. Образец, обнаруженный исследователями, обменивается данными через TCP-порт 443 через специальный двоичный протокол с измененными заголовками, чтобы лучше скрыть передачу сетевого трафика.

Не довольствуясь использованием инструментов, найденных в Интернете, APT27 также разработала и использовала собственный набор собственных инструментов удаленного доступа. Эти инструменты, такие как HyperBro и SysUpdate, используются с 2016 года.

SysUpdate — это своего рода многоэтапное вредоносное ПО, которое используется только Emissary Panda. Вредоносное ПО распространяется несколькими способами, такими как вредоносные документы Word с использованием динамического обмена данными (DDE), ручное развертывание с использованием украденных учетных данных и веб-перенаправлений, а также стратегический веб-компрометация (SWC).

Развертывание и распространение вредоносных программ APT27

Независимо от развертывания, первая полезная нагрузка устанавливается с помощью самораспаковывающегося (SFX) файла WinRAR, который устанавливает полезную нагрузку первого этапа для SysUpdate. Первый этап обеспечивает сохранение на компьютере перед установкой полезной нагрузки второго этапа, известной как SysUpdate Main. Вредоносное ПО связывается по протоколу HTTP и загружает код для внедрения в svchost.exe.

SysUpdate Main предоставляет злоумышленникам ряд возможностей удаленного доступа. RAT позволяет хакерам получать доступ к файлам и процессам на компьютере и управлять ими, взаимодействовать с различными службами, запускать командную оболочку, делать снимки экрана, а также при необходимости загружать и скачивать другие вредоносные программы.

SysUpdate — это чрезвычайно гибкое вредоносное ПО, которое можно расширять или уменьшать по мере необходимости с помощью других файлов полезной нагрузки. По словам исследователей безопасности, способность эффективно контролировать присутствие вируса позволяет хакерам скрывать все свои возможности.

Злоумышленники могут использовать свои проприетарные инструменты во время изощренного вторжения. Эти инструменты дают им больший контроль при меньшем риске обнаружения. Создается впечатление, что злоумышленники получают доступ к сетям с помощью широко доступных инструментов. Оказавшись в системе, они могут обойти элементы управления безопасностью, получить доступ к более значительному набору привилегий и разрешений и сохранить доступ к ценным системам в долгосрочной перспективе. Чем дольше APT27 проводит в целевой сети, тем больший потенциальный ущерб она может нанести. В худшем случае группа может присутствовать в системе в течение многих лет, собирая большое количество конфиденциальной информации и причиняя всевозможный ущерб.

Одним из наиболее популярных специально созданных хакерских инструментов, разработанных APT27, является угроза SysUpdate. Это RAT (троян удаленного доступа), который APT27, по-видимому, распространяется с помощью поддельных спам-писем и атак на цепочку поставок. Эксперты по вредоносным программам считают, что кибер-мошенники также могут установить SysUpdate RAT на целевых хостах вручную, при условии, что они уже проникли на них ранее. Эта конкретная RAT имеет модульную структуру. Это означает, что APT27 может поместить базовую копию угрозы на скомпрометированный компьютер, а затем добавить к ней дополнительные функции, еще больше превратив RAT в оружие.

APT27 представляется очень гибкой хакерской группой — как в отношении используемых ими методов распространения, так и в отношении широкого спектра используемых ими инструментов. Это делает APT27 довольно опасной группой кибер-мошенников, которую нельзя недооценивать.