APT27

APT27 వివరణ

APT27 (అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్) అనేది చైనా నుండి ఉద్భవించిన హ్యాకింగ్ గ్రూప్ పేరు. APT27 ఎమిసరీ పాండా, లక్కీమౌస్ మరియు బ్రాంజ్‌యూనియన్‌తో సహా అనేక ఇతర మారుపేర్లతో కూడా పిలువబడుతుంది. APT27 నిర్వహించిన అత్యంత ప్రసిద్ధ ప్రచారాలలో యునైటెడ్ స్టేట్స్ యొక్క రక్షణ కాంట్రాక్టర్లను లక్ష్యంగా చేసుకుని వారి దాడులు కూడా ఉన్నాయి. APT27 ద్వారా ఇతర ప్రముఖ కార్యకలాపాలలో ఆర్థిక రంగంలో పనిచేస్తున్న అనేక కంపెనీలకు వ్యతిరేకంగా ప్రచారం, అలాగే మధ్య ఆసియాలో ఉన్న డేటా సెంటర్‌పై దాడి కూడా ఉన్నాయి. APT27 యొక్క ఆయుధాలలోని హ్యాకింగ్ సాధనాలు నిఘా కార్యకలాపాలను నిర్వహించడానికి, సోకిన హోస్ట్ నుండి సున్నితమైన ఫైల్‌లను సేకరించడానికి లేదా రాజీపడిన సిస్టమ్‌ను స్వాధీనం చేసుకోవడానికి అనుమతించే బెదిరింపులను కలిగి ఉంటాయి.

సైబర్‌ సెక్యూరిటీ పరిశోధకులు APT27 యొక్క కార్యాచరణను 2010లో మొదటిసారిగా గుర్తించారు మరియు అప్పటి నుండి దానిపై నిఘా ఉంచారు. వారు మొదట గుర్తించబడినప్పటి నుండి, APT27 వివిధ కీలక పరిశ్రమలలో పనిచేసే లక్ష్యాలను రాజీ చేయగలిగింది:

  • ప్రభుత్వం.
  • రక్షణ.
  • సాంకేతికం.
  • శక్తి.
  • తయారీ.
  • ఏరోస్పేస్.

APT27 యొక్క హ్యాకింగ్ ఆర్సెనల్‌లో ఎక్కువగా ఉపయోగించబడిన సాధనాలలో Gh0st RAT , ZXShell మరియు HyperBro ఉన్నాయి . అయినప్పటికీ, APT27 నుండి సైబర్ క్రూక్స్ అనుకూల-నిర్మిత హ్యాకింగ్ సాధనాలపై మాత్రమే ఆధారపడవు. APT27, అనేక ఇతర APTల వలె, వారి దుర్మార్గపు కార్యకలాపాల కోసం చట్టబద్ధమైన సేవలను అలాగే పబ్లిక్‌గా అందుబాటులో ఉన్న హ్యాకింగ్ సాధనాలను కూడా ఉపయోగించుకుంటుంది.

APT27 వివిధ కారణాల కోసం లక్ష్యాల శ్రేణిపై దాడి చేసింది, అత్యాధునిక సాంకేతికతలపై డేటాను దొంగిలించడం నుండి ప్రభుత్వం కోసం పౌర సమూహాలు మరియు అసమ్మతివాదులపై గూఢచర్యం వరకు.

ఎమిసరీ పాండా ఆధారాలు, సాధనాలు మరియు లక్ష్యానికి సంబంధించిన సేవలు మరియు దాడుల కోసం అభివృద్ధి చేసిన అనుకూల మాల్వేర్ వంటి తక్షణమే అందుబాటులో ఉన్న సాధనాలను ఉపయోగిస్తుంది. సమూహం చాలా కాలం పాటు రాజీపడిన సిస్టమ్‌లపై ఉనికిని కొనసాగించడంపై దృష్టి పెడుతుంది.

సమూహం వారు ఇప్పటికీ యాక్సెస్‌ను కలిగి ఉన్నారని ధృవీకరించడానికి, యాక్సెస్ కోల్పోయినట్లయితే రిఫ్రెష్ చేయడానికి మరియు దాడికి సంబంధించిన ఆసక్తి ఉన్న మరింత డేటాను కనుగొనడానికి దాదాపు ప్రతి మూడు నెలలకు ఒకసారి రాజీపడిన నెట్‌వర్క్‌లకు తిరిగి రావడం గమనించబడింది.

APT27 పాతది మళ్లీ కొత్తది అని చూపుతుంది

గత సంవత్సరం, సమూహం రిమోట్ యాక్సెస్ ట్రోజన్ (RAT) ZxShell యొక్క నవీకరించబడిన సంస్కరణలను అమలు చేయడం కనిపించింది. ZxShell మొదటిసారిగా 2006లో అభివృద్ధి చేయబడింది, ప్రోగ్రామ్ కోసం సోర్స్ కోడ్‌తో మరుసటి సంవత్సరం 2007లో విడుదల చేయబడింది. మాల్వేర్ HTran ప్యాకెట్ దారి మళ్లింపును అంతర్నిర్మితంగా కలిగి ఉంది మరియు Hangzhou Shunwang టెక్నాలజీ కో.కి చెందిన డిజిటల్ సర్టిఫికేట్‌తో సంతకం చేయబడింది, అలాగే ఒక షాంఘై హింట్‌సాఫ్ట్ కో., లిమిటెడ్ కోసం డిజిటల్ సర్టిఫికేట్.

APT27 2018లో అమలు చేయబడిన Gh0st RAT యొక్క సవరించిన సంస్కరణ వెనుక కూడా ఉండవచ్చు. అసలు Gh0st RATకి సంబంధించిన సోర్స్ కోడ్ ఆన్‌లైన్‌లో కూడా అందుబాటులో ఉంది. నవీకరించబడిన సంస్కరణ రాజీపడిన నెట్‌వర్క్‌లోని అనేక సిస్టమ్‌లకు వ్యతిరేకంగా ఉపయోగించబడింది. పరిశోధకులు గుర్తించిన నమూనా TCP పోర్ట్ 443పై కస్టమ్ బైనరీ ప్రోటోకాల్ ద్వారా కమ్యూనికేట్ చేస్తుంది, నెట్‌వర్క్ ట్రాఫిక్ కమ్యూనికేషన్‌లను మెరుగ్గా దాచడానికి సవరించిన హెడర్‌లతో.

ఆన్‌లైన్‌లో లభించే సాధనాలను ఉపయోగించడంతో సంతృప్తి చెందలేదు, APT27 దాని స్వంత యాజమాన్య రిమోట్ యాక్సెస్ సాధనాల శ్రేణిని కూడా అభివృద్ధి చేసింది మరియు ఉపయోగించింది. HyperBro మరియు SysUpdate వంటి ఈ సాధనాలు 2016 నుండి రౌండ్లు అవుతున్నాయి.

SysUpdate అనేది ఒక రకమైన బహుళ-దశల మాల్వేర్ మరియు దీనిని ఎమిసరీ పాండా మాత్రమే ఉపయోగిస్తుంది. డైనమిక్ డేటా ఎక్స్ఛేంజ్ (DDE) ఉపయోగించి హానికరమైన వర్డ్ డాక్యుమెంట్‌లు, దొంగిలించబడిన ఆధారాల ద్వారా మాన్యువల్ విస్తరణ మరియు వెబ్ దారి మళ్లింపులు మరియు వ్యూహాత్మక వెబ్ రాజీ (SWC) వంటి అనేక పద్ధతుల ద్వారా మాల్వేర్ పంపిణీ చేయబడుతుంది.

APT27 మాల్వేర్ విస్తరణ మరియు వ్యాప్తి

విస్తరణతో సంబంధం లేకుండా, SysUpdate కోసం మొదటి దశ పేలోడ్‌ను ఇన్‌స్టాల్ చేసే సెల్ఫ్-ఎక్స్‌ట్రాక్టింగ్ (SFX) WinRAR ఫైల్ ద్వారా మొదటి పేలోడ్ ఇన్‌స్టాల్ చేయబడుతుంది. SysUpdate మెయిన్ అని పిలువబడే రెండవ-దశ పేలోడ్‌ను ఇన్‌స్టాల్ చేసే ముందు మొదటి దశ మెషీన్‌పై పట్టుదలను సాధిస్తుంది. మాల్వేర్ HTTP ద్వారా కమ్యూనికేట్ చేస్తుంది మరియు svchost.exeకి ఇంజెక్ట్ చేయడానికి కోడ్‌ను డౌన్‌లోడ్ చేస్తుంది.

SysUpdate Main దాడి చేసేవారికి రిమోట్ యాక్సెస్ సామర్థ్యాల శ్రేణిని అందిస్తుంది. RAT మెషీన్‌లోని ఫైల్‌లు మరియు ప్రాసెస్‌లను యాక్సెస్ చేయడానికి మరియు నిర్వహించడానికి, వివిధ సేవలతో పరస్పర చర్య చేయడానికి, కమాండ్ షెల్‌ను ప్రారంభించేందుకు, స్క్రీన్‌షాట్‌లను తీయడానికి మరియు ఇతర మాల్వేర్‌లను అప్‌లోడ్ చేయడానికి మరియు డౌన్‌లోడ్ చేయడానికి హ్యాకర్లను అనుమతిస్తుంది.

SysUpdate అనేది ఇతర పేలోడ్ ఫైల్‌ల ద్వారా అవసరమైన విధంగా విస్తరించవచ్చు లేదా తగ్గించవచ్చు. భద్రతా పరిశోధకుల ప్రకారం, వైరస్ ఉనికిని సమర్థవంతంగా నియంత్రించే సామర్థ్యం హ్యాకర్లు తమ పూర్తి సామర్థ్యాలను దాచడానికి అనుమతిస్తుంది.

ముప్పు నటులు అధునాతన చొరబాటు సమయంలో వారి యాజమాన్య సాధనాలను ప్రభావితం చేయవచ్చు. ఈ సాధనాలు గుర్తించే ప్రమాదాన్ని తగ్గించడంలో వారికి మరింత నియంత్రణను అందిస్తాయి. బెదిరింపు నటులు విస్తృతంగా అందుబాటులో ఉన్న సాధనాలను ఉపయోగించి నెట్‌వర్క్‌లకు యాక్సెస్‌ను పొందినట్లు కనిపిస్తారు. వారు సిస్టమ్‌లోకి వచ్చిన తర్వాత, వారు భద్రతా నియంత్రణలను తప్పించుకోగలరు, మరింత ముఖ్యమైన అధికారాలు మరియు అనుమతులకు ప్రాప్యతను పొందవచ్చు మరియు దీర్ఘకాలికంగా అధిక-విలువ సిస్టమ్‌లకు ప్రాప్యతను కొనసాగించగలరు. లక్ష్య నెట్‌వర్క్‌పై APT27 ఎంత ఎక్కువ సమయం వెచ్చిస్తే, అది మరింత సంభావ్య నష్టాన్ని కలిగిస్తుంది. అధ్వాన్నమైన దృష్టాంతంలో, సమూహం చాలా సంవత్సరాలుగా సిస్టమ్‌లో ఉనికిని కలిగి ఉంటుంది, చాలా సున్నితమైన సమాచారాన్ని సేకరిస్తుంది మరియు అన్ని రకాల నష్టాన్ని కలిగిస్తుంది.

APT27 ద్వారా అభివృద్ధి చేయబడిన అత్యంత ప్రజాదరణ పొందిన అనుకూల-సృష్టించబడిన హ్యాకింగ్ సాధనాలలో ఒకటి SysUpdate ముప్పు. ఇది RAT (రిమోట్ యాక్సెస్ ట్రోజన్) APT27 నకిలీ స్పామ్ ఇమెయిల్‌లు మరియు సరఫరా-గొలుసు దాడుల ద్వారా ప్రచారం చేస్తున్నట్లు కనిపిస్తుంది. మాల్వేర్ నిపుణులు సైబర్ క్రూక్స్ లక్ష్యంగా ఉన్న హోస్ట్‌లలో SysUpdate RATని మాన్యువల్‌గా ఇన్‌స్టాల్ చేయవచ్చని నమ్ముతారు, వారు గతంలో వాటిని చొరబాట్లకు గురిచేస్తే. ఈ నిర్దిష్ట RAT మాడ్యులర్ నిర్మాణాన్ని కలిగి ఉంది. దీని అర్థం APT27 రాజీపడిన కంప్యూటర్‌లో ముప్పు యొక్క ప్రాథమిక కాపీని నాటవచ్చు, ఆపై దానికి మరిన్ని ఫీచర్లను జోడించి, RATని మరింత ఆయుధం చేస్తుంది.

APT27 చాలా సౌకర్యవంతమైన హ్యాకింగ్ సమూహంగా కనిపిస్తుంది - అవి ఉపయోగించే ప్రచార పద్ధతులు మరియు వారు అమలు చేసే అనేక రకాల సాధనాలకు సంబంధించి. ఇది APT27ని సైబర్ క్రూక్స్ యొక్క బెదిరింపు సమూహంగా చేస్తుంది, వారిని తక్కువ అంచనా వేయకూడదు.