APT27

APT27 (Advanced Persistent Threat) je ime hekerske skupine, ki izvira iz Kitajske in teži za odmevnimi tarčami. APT27 je znan tudi pod različnimi drugimi vzdevki, vključno z Emissary Panda, LuckyMouse in BronzeUnion. Med najbolj znanimi kampanjami, ki jih izvaja APT27, so njihovi napadi na obrambne izvajalce Združenih držav. Druge priljubljene operacije APT27 vključujejo kampanjo proti številnim podjetjem, ki delujejo v finančnem sektorju, pa tudi napad na podatkovni center v Srednji Aziji. Hekerska orodja v orožju APT27 vključujejo grožnje, ki bi jim omogočile izvajanje izvidniških operacij, zbiranje občutljivih datotek okuženega gostitelja ali prevzem ogroženega sistema.

Raziskovalci kibernetske varnosti so prvič opazili dejavnost APT27 leta 2010 in jo od takrat pozorno spremljajo. Odkar so jih prvič opazili, je APT27 uspel ogroziti cilje, ki delujejo v različnih ključnih panogah:

• vlada.
• Obramba.
• Tehnologija.
• Energija.
• Proizvodnja.
• Aerospace.

Med najbolj uporabljenimi orodji v hekerskem arzenalu APT27 so Gh0st RAT , ZXShell in HyperBro . Vendar se kibernetski prevaranti iz APT27 ne zanašajo samo na orodja za hekerje, izdelana po meri. APT27, tako kot mnogi drugi APT, uporablja tudi zakonite storitve za svoje zlobne operacije, pa tudi javno dostopna orodja za vdiranje.

APT27 je napadel vrsto ciljev iz različnih razlogov, od kraje podatkov o najsodobnejših tehnologijah do vohunjenja za civilne skupine in disidente za vlado.

Emissary Panda uporablja lahko dostopna orodja, kot so poverilnice, orodja in storitve, ki so domorodne za cilj, ter zlonamerna programska oprema po meri, razvita za napade. Skupina se osredotoča na ohranjanje prisotnosti na ogroženih sistemih za daljše časovno obdobje.

Opazili so, da se je skupina vračala v ogrožena omrežja približno vsake tri mesece, da bi preverila, ali imajo še vedno dostop, osvežila dostop, če je bil izgubljen, in poiskala več podatkov, ki so zanimivi za napad.

APT27 prikazuje, kaj je staro, je spet novo

Lani je bila skupina opažena, da uvaja posodobljene različice trojanskega programa za oddaljeni dostop (RAT) ZxShell. ZxShell je bil prvič razvit leta 2006, izvorna koda za program pa je bila izdana naslednje leto leta 2007. Zlonamerna programska oprema ima vgrajeno preusmeritev paketov HTran in je bila podpisana z digitalnim potrdilom, ki pripada Hangzhou Shunwang Technology Co., in digitalno potrdilo za Shanghai Hintsoft Co., Ltd.

APT27 je verjetno stal tudi za spremenjeno različico Gh0st RAT, ki je bila uvedena leta 2018. Izvorna koda za originalni Gh0st RAT je na voljo tudi na spletu. Posodobljena različica je bila uporabljena proti več sistemom v ogroženem omrežju. Vzorec, ki so ga opazili raziskovalci, komunicira na vratih TCP 443 prek binarnega protokola po meri, s spremenjenimi glavami za boljše skrivanje komunikacij omrežnega prometa.

Ker ni zadovoljen z uporabo orodij, ki jih najdemo na spletu, je APT27 razvil in uporabil tudi lastno paleto lastniških orodij za oddaljeni dostop. Ta orodja, kot sta HyperBro in SysUpdate, se pojavljajo že od leta 2016.

SysUpdate je vrsta večstopenjske zlonamerne programske opreme in jo uporablja samo Emissary Panda. Zlonamerna programska oprema se dostavi na več načinov, kot so zlonamerni Wordovi dokumenti z uporabo dinamične izmenjave podatkov (DDE), ročna uvedba prek ukradenih poverilnic in spletnih preusmeritev ter strateški spletni kompromis (SWC).

Uvajanje in širjenje zlonamerne programske opreme APT27

Ne glede na uvedbo je prva koristna obremenitev nameščena prek samorazpakirane (SFX) datoteke WinRAR, ki namesti prvostopenjsko koristno obremenitev za SysUpdate. Prva stopnja doseže obstojnost na stroju pred namestitvijo koristne obremenitve druge stopnje, znane kot SysUpdate Main. Zlonamerna programska oprema komunicira prek HTTP in naloži kodo za vbrizgavanje v svchost.exe.

SysUpdate Main napadalcem ponuja vrsto možnosti oddaljenega dostopa. RAT omogoča hekerjem dostop in upravljanje datotek in procesov na stroju, interakcijo z različnimi storitvami, zagon ukazne lupine, posnetke zaslona ter nalaganje in prenos druge zlonamerne programske opreme, kot je potrebno.

SysUpdate je izjemno prilagodljiva zlonamerna programska oprema, ki jo je mogoče po potrebi razširiti ali zmanjšati z drugimi datotekami koristnega bremena. Po mnenju varnostnih raziskovalcev zmožnost učinkovitega nadzora prisotnosti virusa hekerjem omogoča, da skrijejo vse svoje zmogljivosti.

Udeleženci grožnje lahko med prefinjenim vdorom izkoristijo svoja lastniška orodja. Ta orodja jim omogočajo več nadzora z zmanjšanim tveganjem zaznavanja. Zdi se, da akterji grožnje pridobijo dostop do omrežij z uporabo široko dostopnih orodij. Ko so v sistemu, lahko zaobidejo varnostne kontrole, pridobijo dostop do pomembnejšega nabora privilegijev in dovoljenj ter dolgoročno ohranijo dostop do sistemov visoke vrednosti. Dlje ko APT27 porabi za ciljno omrežje, večjo škodo lahko povzroči. V najslabšem primeru bi lahko bila skupina prisotna v sistemu več let, zbirala veliko občutljivih informacij in povzročala vse vrste škode.

Eno izmed bolj priljubljenih orodij za vdiranje po meri, ki jih je razvil APT27, je grožnja SysUpdate. To je RAT (trojanec za oddaljeni dostop), za katerega se zdi, da se APT27 širi prek lažne neželene e-pošte in napadov dobavne verige. Strokovnjaki za zlonamerno programsko opremo verjamejo, da lahko kibernetski prevaranti tudi ročno namestijo SysUpdate RAT na ciljne gostitelje, pod pogojem, da so se vanje infiltrirali prej. Ta specifična RAT ima modularno strukturo. To pomeni, da lahko APT27 posadi osnovno kopijo grožnje v ogroženem računalniku in mu nato doda več funkcij, s čimer RAT dodatno orožje.

Zdi se, da je APT27 zelo prilagodljiva hekerska skupina – tako glede načinov širjenja, ki jih uporabljajo, kot tudi glede široke palete orodij, ki jih uporabljajo. Zaradi tega je APT27 precej nevarna skupina kibernetskih prevarantov, ki jih ne gre podcenjevati.