APT27

APT27 Popis

APT27 (Advanced Persistent Threat) je názov hackerskej skupiny, ktorá pochádza z Číny a má tendenciu sledovať vysokoprofilové ciele. APT27 je tiež známy pod rôznymi inými prezývkami, vrátane Emissary Panda, LuckyMouse a BronzeUnion. Medzi najznámejšie kampane APT27 patria ich útoky zamerané na dodávateľov obrany Spojených štátov. Medzi ďalšie obľúbené operácie APT27 patrí kampaň proti viacerým spoločnostiam pôsobiacim vo finančnom sektore, ako aj útok proti dátovému centru v Strednej Ázii. Hackerské nástroje vo výzbroji APT27 zahŕňajú hrozby, ktoré by im umožnili vykonávať prieskumné operácie, zhromažďovať citlivé súbory z infikovaného hostiteľa alebo prevziať ohrozený systém.

Výskumníci v oblasti kybernetickej bezpečnosti prvýkrát zaznamenali aktivitu APT27 v roku 2010 a odvtedy ju pozorne sledujú. Odkedy boli prvýkrát spozorované, APT27 dokázalo kompromitovať ciele, ktoré fungujú v rôznych kľúčových odvetviach:

  • vláda.
  • Obrana.
  • technológie.
  • energie.
  • Výroba.
  • Letectvo a kozmonautika.

Medzi najpoužívanejšie nástroje v hackerskom arzenáli APT27 patria Gh0st RAT , ZXShell a HyperBro . Kybernetický podvodníci z APT27 sa však nespoliehajú len na hackerské nástroje na mieru. APT27, rovnako ako mnoho iných APT, tiež využíva legitímne služby pre svoje nekalé operácie, ako aj verejne dostupné hackerské nástroje.

APT27 zaútočil na celý rad cieľov z rôznych dôvodov, od kradnutia údajov o špičkových technológiách až po špehovanie civilných skupín a disidentov pre vládu.

Emissary Panda používa ľahko dostupné nástroje, ako sú poverenia, nástroje a služby natívne pre daný cieľ a vlastný malvér vyvinutý na útoky. Skupina sa zameriava na udržanie prítomnosti na napadnutých systémoch počas dlhšieho časového obdobia.

Pozorovalo sa, že skupina sa vracala do ohrozených sietí približne každé tri mesiace, aby si overila, že stále má prístup, obnovila prístup, ak bol stratený, a našla ďalšie údaje, ktoré sú predmetom útoku.

APT27 demonštruje, čo je staré, je opäť nové

Minulý rok skupina nasadila aktualizované verzie trójskeho koňa (RAT) ZxShell pre vzdialený prístup. ZxShell bol prvýkrát vyvinutý v roku 2006, pričom zdrojový kód programu bol vydaný nasledujúci rok v roku 2007. Malvér má zabudované presmerovanie paketov HTran a bol podpísaný digitálnym certifikátom patriacim spoločnosti Hangzhou Shunwang Technology Co., ako aj digitálny certifikát pre Shanghai Hintsoft Co., Ltd.

APT27 bol pravdepodobne aj za upravenou verziou Gh0st RAT nasadenej v roku 2018. Zdrojový kód pre pôvodný Gh0st RAT je dostupný aj online. Aktualizovaná verzia bola použitá proti niekoľkým systémom v kompromitovanej sieti. Vzorka zistená výskumníkmi komunikuje na porte TCP 443 prostredníctvom vlastného binárneho protokolu s upravenými hlavičkami, aby sa lepšie skryla komunikácia v sieti.

APT27, ktorý nie je spokojný s používaním nástrojov nájdených online, tiež vyvinul a použil svoj vlastný rad proprietárnych nástrojov pre vzdialený prístup. Tieto nástroje, ako napríklad HyperBro a SysUpdate, sa používajú od roku 2016.

SysUpdate je druh viacstupňového malvéru a používa ho iba Emissary Panda. Malvér sa dodáva prostredníctvom niekoľkých metód, ako sú napríklad škodlivé dokumenty Word pomocou dynamickej výmeny údajov (DDE), manuálne nasadenie prostredníctvom ukradnutých poverení a presmerovaní webu a strategického kompromisu webu (SWC).

Nasadenie a šírenie škodlivého softvéru APT27

Bez ohľadu na nasadenie sa prvá užitočná časť nainštaluje prostredníctvom samorozbaľovacieho (SFX) súboru WinRAR, ktorý nainštaluje užitočnú časť prvej fázy pre SysUpdate. V prvej fáze sa dosiahne trvalosť na počítači pred inštaláciou užitočného zaťaženia druhej fázy, známej ako SysUpdate Main. Malvér komunikuje cez HTTP a stiahne kód, ktorý vloží do svchost.exe.

SysUpdate Main poskytuje útočníkom celý rad možností vzdialeného prístupu. RAT umožňuje hackerom pristupovať a spravovať súbory a procesy v počítači, komunikovať s rôznymi službami, spúšťať príkazový shell, vytvárať snímky obrazovky a podľa potreby nahrávať a sťahovať ďalší malvér.

SysUpdate je pozoruhodne flexibilný malvér, ktorý možno podľa potreby rozširovať alebo zmenšovať prostredníctvom iných súborov užitočného zaťaženia. Schopnosť efektívne kontrolovať prítomnosť vírusu umožňuje hackerom skryť svoje plné schopnosti, podľa bezpečnostných výskumníkov.

Aktéri hrozby môžu využiť svoje vlastné nástroje počas sofistikovaného prieniku. Tieto nástroje im poskytujú väčšiu kontrolu pri zníženom riziku odhalenia. Zdá sa, že aktéri hrozby získavajú prístup k sieťam pomocou široko dostupných nástrojov. Keď sú v systéme, môžu obísť bezpečnostné kontroly, získať prístup k významnejšiemu súboru privilégií a oprávnení a dlhodobo si udržiavať prístup k vysokohodnotným systémom. Čím dlhšie APT27 strávi v cieľovej sieti, tým väčšie škody môže spôsobiť. V najhoršom prípade by skupina mohla byť prítomná v systéme roky, zhromažďovať množstvo citlivých informácií a spôsobovať rôzne škody.

Jedným z najpopulárnejších hackerských nástrojov vytvorených na mieru, ktorý vyvinul APT27, je hrozba SysUpdate. Toto je trójsky kôň RAT (Remote Access Trojan), ktorý podľa všetkého šíri APT27 prostredníctvom falošných spamových e-mailov a útokov na dodávateľský reťazec. Experti na malvér sa domnievajú, že kybernetickí podvodníci môžu nainštalovať SysUpdate RAT na cieľových hostiteľov manuálne za predpokladu, že do nich predtým infiltrovali. Tento špecifický RAT má modulárnu štruktúru. To znamená, že APT27 môže umiestniť základnú kópiu hrozby na napadnutý počítač a potom k nej pridať ďalšie funkcie, čím ďalej vyzbrojuje RAT.

Zdá sa, že APT27 je veľmi flexibilná hackerská skupina – pokiaľ ide o metódy šírenia, ktoré využívajú, ako aj širokú škálu nástrojov, ktoré nasadzujú. To robí z APT27 dosť hrozivú skupinu kybernetických podvodníkov, ktorých netreba podceňovať.