APT27

APT27 Përshkrimi

APT27 (Kërcënimi i Përparuar i Përparuar) është emri i një grupi hakerimi që ka origjinën nga Kina dhe tenton të ndjekë objektiva të profilit të lartë. APT27 gjithashtu njihet me pseudonime të tjera të ndryshme, duke përfshirë Emissary Panda, LuckyMouse dhe BronzeUnion. Ndër fushatat më të njohura të kryera nga APT27 janë sulmet e tyre që synojnë kontraktorët e mbrojtjes të Shteteve të Bashkuara. Operacione të tjera të njohura nga APT27 përfshijnë një fushatë kundër një numri kompanish që operojnë në sektorin financiar, si dhe një sulm të nisur kundër një qendre të dhënash të vendosur në Azinë Qendrore. Mjetet e hakerimit në armatimin e APT27 përfshijnë kërcënime që do t'i lejojnë ata të kryejnë operacione zbulimi, të mbledhin skedarë të ndjeshëm nga hosti i infektuar ose të marrin përsipër sistemin e komprometuar.

Studiuesit e sigurisë kibernetike vunë re për herë të parë aktivitetin e APT27 në vitin 2010 dhe që atëherë e kanë vëzhguar atë nga afër. Që kur u zbuluan për herë të parë, APT27 ka arritur të komprometojë objektivat që operojnë në një sërë industrish kryesore:

  • Qeveria.
  • Mbrojtja.
  • Teknologjia.
  • Energjisë.
  • Prodhimtaria.
  • Hapësira ajrore.

Ndër mjetet më të përdorura në arsenalin e hakerëve të APT27 janë Gh0st RAT , ZXShell dhe HyperBro . Sidoqoftë, mashtruesit kibernetikë nga APT27 nuk mbështeten vetëm në mjetet e hakerimit të krijuara me porosi. APT27, si shumë APT të tjera, përdor gjithashtu shërbime legjitime për operacionet e tyre të liga, si dhe mjete hakerimi të disponueshme publikisht.

APT27 ka sulmuar një sërë objektivash për një sërë arsyesh, nga vjedhja e të dhënave për teknologjitë më të fundit deri te spiunimi i grupeve civile dhe disidentëve për qeverinë.

Emissary Panda përdor mjete lehtësisht të disponueshme si kredencialet, mjetet dhe shërbimet vendase të objektivit, si dhe malware të personalizuar të zhvilluar për sulme. Grupi fokusohet në mbajtjen e një pranie në sistemet e komprometuara për një periudhë të gjatë kohore.

Grupi u vu re se kthehej në rrjetet e komprometuara afërsisht çdo tre muaj për të verifikuar se ata kishin ende akses, për të rifreskuar aksesin nëse kishte humbur dhe për të gjetur më shumë të dhëna me interes për sulmin.

APT27 demonstron se çfarë është e vjetër është përsëri e re

Vitin e kaluar, grupi u pa duke vendosur versione të përditësuara të Trojan Access (RAT) ZxShell. ZxShell u zhvillua për herë të parë në 2006, me kodin burimor për programin e lëshuar vitin e ardhshëm në 2007. Malware ka ridrejtimin e paketës HTran të integruar dhe është nënshkruar me një certifikatë dixhitale që i përket Hangzhou Shunwang Technology Co., si dhe një certifikatë dixhitale për Shanghai Hintsoft Co., Ltd.

APT27 ka të ngjarë të jetë gjithashtu prapa një versioni të modifikuar të Gh0st RAT të vendosur në 2018. Kodi burimor për origjinalin Gh0st RAT është gjithashtu i disponueshëm në internet. Versioni i përditësuar u përdor kundër disa sistemeve në një rrjet të komprometuar. Mostra e vërejtur nga studiuesit komunikon në portin TCP 443 përmes një protokolli binar të personalizuar, me kokë të modifikuar për të fshehur më mirë komunikimet e trafikut në rrjet.

I pakënaqur me përdorimin e mjeteve të gjetura në internet, APT27 gjithashtu ka zhvilluar dhe përdorur gamën e vet të mjeteve të pronarit të aksesit në distancë. Këto mjete, të tilla si HyperBro dhe SysUpdate, kanë dalë në qarkullim që nga viti 2016.

SysUpdate është një lloj malware me shumë faza dhe përdoret vetëm nga Emissary Panda. Malware shpërndahet përmes disa metodave, të tilla si dokumente keqdashëse Word duke përdorur Shkëmbimin Dinamik të të Dhënave (DDE), vendosjen manuale përmes kredencialeve të vjedhura dhe ridrejtimet në ueb, dhe kompromisin strategjik të uebit (SWC).

Vendosja dhe përhapja e malware APT27

Pavarësisht vendosjes, ngarkesa e parë instalohet përmes një skedari WinRAR vetë-ekstraktues (SFX) që instalon ngarkesën e fazës së parë për SysUpdate. Faza e parë arrin qëndrueshmëri në makinë përpara se të instalojë ngarkesën e fazës së dytë, e njohur si SysUpdate Main. Malware komunikon përmes HTTP dhe shkarkon kodin për të injektuar në svchost.exe.

SysUpdate Main u ofron sulmuesve një sërë mundësish aksesi në distancë. RAT lejon hakerat të kenë akses dhe të menaxhojnë skedarët dhe proceset në makinë, të ndërveprojnë me shërbime të ndryshme, të lëshojnë një guaskë komandimi, të marrin pamje nga ekrani dhe të ngarkojnë dhe shkarkojnë malware të tjerë sipas nevojës.

SysUpdate është një malware jashtëzakonisht fleksibël që mund të zgjerohet ose zvogëlohet sipas nevojës përmes skedarëve të tjerë të ngarkesës. Aftësia për të kontrolluar në mënyrë efektive praninë e virusit lejon hakerët të fshehin aftësitë e tyre të plota, sipas studiuesve të sigurisë.

Aktorët e kërcënimit mund të përdorin mjetet e tyre të pronarit gjatë një ndërhyrjeje të sofistikuar. Këto mjete u japin atyre më shumë kontroll me një rrezik të reduktuar zbulimi. Aktorët e kërcënimit duket se fitojnë akses në rrjete duke përdorur mjete të disponueshme gjerësisht. Pasi të jenë në sistem, ata mund të anashkalojnë kontrollet e sigurisë, të fitojnë akses në një grup më të rëndësishëm privilegjesh dhe lejesh dhe të ruajnë aksesin në sisteme me vlerë të lartë në afat të gjatë. Sa më gjatë të shpenzojë APT27 në një rrjet të synuar, aq më shumë dëme të mundshme mund të bëjë. Në një skenar të rastit më të keq, grupi mund të ketë një prani në një sistem për vite, duke mbledhur shumë informacione të ndjeshme dhe duke shkaktuar të gjitha llojet e dëmeve.

Një nga mjetet më të njohura të hakerimit të krijuar me porosi që u zhvillua nga APT27 është kërcënimi SysUpdate. Ky është një RAT (Remote Access Trojan) që APT27 duket se e përhap përmes emaileve të rreme të spam-it dhe sulmeve të zinxhirit të furnizimit. Ekspertët e malware besojnë se mashtruesit kibernetikë mund të instalojnë gjithashtu manualisht SysUpdate RAT në hostet e synuar, me kusht që ata të kenë infiltruar më parë. Ky RAT specifik ka një strukturë modulare. Kjo do të thotë që APT27 mund të vendosë një kopje bazë të kërcënimit në kompjuterin e komprometuar dhe më pas të shtojë më shumë veçori në të, duke armatosur më tej RAT.

APT27 duket të jetë një grup hakerimi shumë fleksibël – si për sa i përket metodave të përhapjes që ata përdorin, ashtu edhe gamës së gjerë të mjeteve që ata përdorin. Kjo e bën APT27 një grup mjaft kërcënues të mashtruesve kibernetikë, të cilët nuk duhen nënvlerësuar.