АПТ27

АПТ27 (Адванцед Персистент Тхреат) је назив хакерске групе која потиче из Кине и тежи да јури на мете високог профила. АПТ27 је такође познат под разним другим псеудонима, укључујући Емиссари Панда, ЛуцкиМоусе и БронзеУнион. Међу најпознатијим кампањама које спроводи АПТ27 су њихови напади усмерени на одбрамбене извођаче Сједињених Држава. Друге популарне операције АПТ27 укључују кампању против бројних компанија које послују у финансијском сектору, као и напад покренут на центар података који се налази у Централној Азији. Алати за хаковање у оружју АПТ27 укључују претње које би им омогућиле да изводе извиђачке операције, прикупљају осетљиве датотеке са зараженог хоста или преузимају компромитовани систем.

Истраживачи сајбер безбедности први пут су приметили активност АПТ27 2010. године и од тада је помно прате. Откако су први пут примећени, АПТ27 је успео да угрози циљеве који раде у различитим кључним индустријама:

• Влада.
• Одбрана.
• Технологија.
• Енергија.
• Мануфацтуринг.
• Ваздухопловство.

Међу најкоришћенијим алатима у хакерском арсеналу АПТ27 су Гх0ст РАТ , ЗКССхелл и ХиперБро . Међутим, сајбер лопови из АПТ27 се не ослањају само на алате за хаковање по мери. АПТ27, као и многи други АПТ, такође користи легитимне услуге за своје злобне операције, као и јавно доступне алате за хаковање.

АПТ27 је напао низ циљева из разних разлога, од крађе података о најсавременијим технологијама до шпијунирања цивилних група и дисидената за владу.

Емиссари Панда користи лако доступне алате као што су акредитиви, алати и услуге које су изворне за циљ, као и прилагођени малвер развијен за нападе. Група се фокусира на одржавање присуства на компромитованим системима током дужег временског периода.

Примећено је да се група враћа на компромитоване мреже отприлике свака три месеца како би проверила да ли још увек имају приступ, освежила приступ ако је изгубљен и пронашла више података од интереса за напад.

АПТ27 демонстрира шта је старо поново је ново

Прошле године је примећено да група примењује ажуриране верзије тројанца за даљински приступ (РАТ) ЗкСхелл. ЗкСхелл је први пут развијен 2006. године, а изворни код за програм је објављен следеће 2007. Малвер има уграђено ХТран преусмеравање пакета и потписан је дигиталним сертификатом који припада Хангзхоу Схунванг Тецхнологи Цо., као и дигитални сертификат за Схангхаи Хинтсофт Цо., Лтд.

АПТ27 је такође вероватно стајао иза модификоване верзије Гх0ст РАТ-а која је распоређена 2018. Изворни код за оригинални Гх0ст РАТ је такође доступан на мрежи. Ажурирана верзија је коришћена против неколико система у угроженој мрежи. Узорак који су уочили истраживачи комуницира на ТЦП порту 443 преко прилагођеног бинарног протокола, са модификованим заглављима како би се боље сакриле комуникације мрежног саобраћаја.

Незадовољан коришћењем алата који се налазе на мрежи, АПТ27 је такође развио и користио сопствену палету сопствених алата за даљински приступ. Ови алати, као што су ХиперБро и СисУпдате, долазе у круг од 2016.

СисУпдате је врста вишестепеног малвера и користи га само Емиссари Панда. Злонамерни софтвер се испоручује на неколико метода, као што су злонамерни Ворд документи помоћу динамичке размене података (ДДЕ), ручна примена путем украдених акредитива и веб преусмеравања и стратешки веб компромис (СВЦ).

АПТ27 примена и ширење злонамерног софтвера

Без обзира на примену, први корисни терет се инсталира кроз самораспакујућу (СФКС) ВинРАР датотеку која инсталира прву фазу корисног оптерећења за СисУпдате. Прва фаза постиже постојаност на машини пре инсталирања корисног оптерећења друге фазе, познатог као СисУпдате Маин. Малвер комуницира преко ХТТП-а и преузима код за убацивање у свцхост.еке.

СисУпдате Маин пружа нападачима низ могућности даљинског приступа. РАТ омогућава хакерима да приступе и управљају датотекама и процесима на машини, комуницирају са различитим услугама, покрећу командну шкољку, праве снимке екрана и по потреби отпремају и преузимају други малвер.

СисУпдате је изузетно флексибилан злонамерни софтвер који се по потреби може проширити или умањити преко других корисних датотека. Могућност ефикасне контроле присуства вируса омогућава хакерима да сакрију своје пуне могућности, тврде истраживачи безбедности.

Актери претњи могу да искористе своје власничке алате током софистицираног упада. Ови алати им дају већу контролу уз смањени ризик од откривања. Чини се да актери претњи добијају приступ мрежама користећи широко доступне алате. Једном када су у систему, могу да заобиђу безбедносне контроле, добију приступ значајнијем скупу привилегија и дозвола и дугорочно одржавају приступ системима високе вредности. Што дуже АПТ27 троши на циљну мрежу, то више потенцијалне штете може да направи. У најгорем случају, група би могла да буде присутна у систему годинама, прикупљајући обиље осетљивих информација и проузрокујући разне врсте штете.

Једна од популарнијих хакерских алатки креираних по мери коју је развио АПТ27 је претња СисУпдате. Ово је РАТ (тројанац за даљински приступ) за који се чини да се АПТ27 шири путем лажних нежељених е-порука и напада на ланац снабдевања. Стручњаци за малвер верују да сајбер лопови такође могу ручно да инсталирају СисУпдате РАТ на циљане хостове, под условом да су се претходно инфилтрирали у њих. Овај специфични РАТ има модуларну структуру. То значи да АПТ27 може да постави основну копију претње на компромитовани рачунар, а затим да му дода још функција, додатно оружујући РАТ.

Чини се да је АПТ27 веома флексибилна хакерска група – како у погледу метода ширења које користе, тако иу погледу широког спектра алата које примењују. Ово чини АПТ27 прилично опасном групом сајбер лопова, које не треба потцењивати.