APT27

APT27 Beskrivning

APT27 (Advanced Persistent Threat) är namnet på en hackergrupp som kommer från Kina och tenderar att gå efter högprofilerade mål. APT27 är också känd under olika andra alias, inklusive Emissary Panda, LuckyMouse och BronzeUnion. Bland de mest kända kampanjerna som genomförts av APT27 är deras attacker mot USA:s försvarsentreprenörer. Andra populära operationer av APT27 inkluderar en kampanj mot ett antal företag verksamma inom finanssektorn, samt en attack mot ett datacenter i Centralasien. Hackverktygen i APT27:s vapen inkluderar hot som skulle tillåta dem att utföra spaningsoperationer, samla in känsliga filer från den infekterade värden eller ta över det komprometterade systemet.

Cybersäkerhetsforskare upptäckte aktiviteten hos APT27 för första gången 2010 och har hållit ett öga på den sedan dess. Sedan de först upptäcktes har APT27 lyckats kompromissa med mål som är verksamma inom en mängd nyckelbranscher:

  • Regering.
  • Försvar.
  • Teknologi.
  • Energi.
  • Tillverkning.
  • Flyg och rymd.

Bland de mest använda verktygen i APT27:s hackarsenal är Gh0st RAT , ZXShell och HyperBro . Cyberskurkarna från APT27 förlitar sig dock inte bara på specialbyggda hackverktyg. APT27, liksom många andra APT:er, använder också legitima tjänster för sina skändliga verksamheter, såväl som allmänt tillgängliga hackverktyg.

APT27 har attackerat en rad mål av olika anledningar, från att stjäla data om spjutspetsteknik till att spionera på civila grupper och oliktänkande åt regeringen.

Emissary Panda använder lättillgängliga verktyg som referenser, verktyg och tjänster som är inbyggda i målet, och anpassad skadlig programvara utvecklad för attacker. Gruppen fokuserar på att upprätthålla närvaro på de komprometterade systemen under en längre tid.

Gruppen observerades återvända till komprometterade nätverk ungefär var tredje månad för att verifiera att de fortfarande hade åtkomst, uppdatera åtkomsten om den hade gått förlorad och hitta mer information av intresse för attacken.

APT27 Demonstrerar vad som är gammalt är nytt igen

Förra året sågs gruppen distribuera uppdaterade versioner av fjärråtkomst Trojan (RAT) ZxShell. ZxShell utvecklades först 2006, och källkoden för programmet släpptes följande år 2007. Skadlig programvara har HTran-paketomdirigering inbyggd och signerades med ett digitalt certifikat som tillhör Hangzhou Shunwang Technology Co., samt en digitalt certifikat för Shanghai Hintsoft Co., Ltd.

APT27 låg sannolikt också bakom en modifierad version av Gh0st RAT som distribuerades 2018. Källkoden för den ursprungliga Gh0st RAT är också tillgänglig online. Den uppdaterade versionen användes mot flera system i ett komprometterat nätverk. Provet som upptäckts av forskare kommunicerar på TCP-port 443 genom ett anpassat binärt protokoll, med modifierade rubriker för att bättre dölja nätverkstrafikkommunikation.

APT27 är inte nöjd med att använda verktyg som finns online, men har också utvecklat och använt sitt eget utbud av egna fjärråtkomstverktyg. Dessa verktyg, som HyperBro och SysUpdate, har gjort rundorna sedan 2016.

SysUpdate är ett slags skadlig programvara i flera steg och används endast av Emissary Panda. Skadlig programvara levereras genom flera metoder, såsom skadliga Word-dokument med Dynamic Data Exchange (DDE), manuell distribution genom stulna autentiseringsuppgifter och webbomdirigeringar och strategisk webbkompromiss (SWC).

APT27 Implementering och spridning av skadlig programvara

Oavsett distribution, installeras den första nyttolasten genom en självextraherande (SFX) WinRAR-fil som installerar den första nyttolasten för SysUpdate. Det första steget uppnår uthållighet på maskinen innan det andra stegets nyttolast, känd som SysUpdate Main, installeras. Skadlig programvara kommunicerar över HTTP och laddar ner kod för att injicera i svchost.exe.

SysUpdate Main ger angripare en rad funktioner för fjärråtkomst. RAT tillåter hackare att komma åt och hantera filer och processer på maskinen, interagera med olika tjänster, starta ett kommandoskal, ta skärmdumpar och ladda upp och ladda ner annan skadlig kod efter behov.

SysUpdate är en anmärkningsvärt flexibel skadlig programvara som kan utökas eller minskas efter behov genom andra nyttolastfiler. Möjligheten att effektivt kontrollera närvaron av viruset gör att hackarna kan dölja sina fulla möjligheter, enligt säkerhetsforskare.

Hotaktörerna kan utnyttja sina proprietära verktyg under ett sofistikerat intrång. Dessa verktyg ger dem mer kontroll med minskad risk för upptäckt. Hotaktörerna verkar få tillgång till nätverk med hjälp av allmänt tillgängliga verktyg. När de väl är på systemet kan de kringgå säkerhetskontroller, få tillgång till en mer betydande uppsättning privilegier och behörigheter och behålla åtkomst till högvärdiga system på lång sikt. Ju längre tid APT27 spenderar på ett målnätverk, desto mer potentiell skada kan den göra. I värsta fall kan gruppen ha en närvaro på ett system i flera år, samla in massor av känslig information och orsaka alla typer av skador.

Ett av de mer populära skräddarsydda hackverktygen som utvecklades av APT27 är SysUpdate- hotet. Detta är en RAT (Remote Access Trojan) som APT27 verkar sprida sig via falska spam-e-postmeddelanden och supply-chain-attacker. Malwareexperter tror att cyberskurkarna också kan installera SysUpdate RAT på riktade värdar manuellt, förutsatt att de hade infiltrerat dem tidigare. Denna specifika RAT har en modulär struktur. Detta innebär att APT27 kan plantera en grundläggande kopia av hotet på den komprometterade datorn, och sedan lägga till fler funktioner till den, vilket gör RAT:n ytterligare.

APT27 verkar vara en mycket flexibel hackningsgrupp – både när det gäller spridningsmetoderna de använder och det stora utbudet av verktyg de använder. Detta gör APT27 till en ganska hotfull grupp av cyberskurkar, som inte bör underskattas.