APT27

APT27 คำอธิบาย

APT27 (Advanced Persistent Threat) เป็นชื่อของกลุ่มแฮ็คที่มาจากประเทศจีนและมีแนวโน้มที่จะไล่ตามเป้าหมายที่มีรายละเอียดสูง APT27 ยังเป็นที่รู้จักภายใต้นามแฝงอื่นๆ เช่น Emissary Panda, LuckyMouse และ BronzeUnion ในบรรดาแคมเปญที่มีชื่อเสียงที่สุดที่ดำเนินการโดย APT27 คือการโจมตีที่กำหนดเป้าหมายไปยังผู้รับเหมาด้านการป้องกันประเทศของสหรัฐอเมริกา การดำเนินการที่ได้รับความนิยมอื่นๆ โดย APT27 รวมถึงการรณรงค์ต่อต้านบริษัทหลายแห่งที่ดำเนินงานในภาคการเงิน เช่นเดียวกับการโจมตีศูนย์ข้อมูลที่ตั้งอยู่ในเอเชียกลาง เครื่องมือแฮ็คในอาวุธของ APT27 รวมถึงภัยคุกคามที่จะช่วยให้พวกเขาสามารถดำเนินการลาดตระเวน รวบรวมไฟล์ที่ละเอียดอ่อนจากโฮสต์ที่ติดไวรัส หรือเข้าควบคุมระบบที่ถูกบุกรุก

นักวิจัยด้านความปลอดภัยทางไซเบอร์พบกิจกรรมของ APT27 เป็นครั้งแรกในปี 2010 และได้จับตาดูอย่างใกล้ชิดตั้งแต่นั้นเป็นต้นมา นับตั้งแต่ถูกค้นพบครั้งแรก APT27 สามารถประนีประนอมกับเป้าหมายที่ทำงานในอุตสาหกรรมหลักที่หลากหลาย:

  • รัฐบาล.
  • ป้องกัน.
  • เทคโนโลยี.
  • พลังงาน.
  • การผลิต.
  • การบินและอวกาศ

เครื่องมือที่ใช้มากที่สุดในคลังอาวุธแฮ็คของ APT27 ได้แก่ Gh0st RAT , ZXShell และ HyperBro อย่างไรก็ตาม อาชญากรไซเบอร์จาก APT27 ไม่ได้พึ่งพาเครื่องมือแฮ็คที่สร้างขึ้นเองเท่านั้น APT27 เช่นเดียวกับ APT อื่น ๆ อีกมากมาย ยังใช้บริการที่ถูกกฎหมายสำหรับการดำเนินการที่ชั่วร้าย เช่นเดียวกับเครื่องมือแฮ็คที่เปิดเผยต่อสาธารณะ

APT27 โจมตีเป้าหมายที่หลากหลายด้วยเหตุผลหลายประการ ตั้งแต่การขโมยข้อมูลเทคโนโลยีล้ำสมัยไปจนถึงการสอดแนมกลุ่มพลเรือนและผู้ไม่เห็นด้วยในรัฐบาล

Emissary Panda ใช้เครื่องมือที่พร้อมใช้งาน เช่น ข้อมูลประจำตัว เครื่องมือ และบริการที่เป็นเป้าหมาย และมัลแวร์แบบกำหนดเองที่พัฒนาขึ้นสำหรับการโจมตี กลุ่มมุ่งเน้นไปที่การรักษาสถานะในระบบที่ถูกบุกรุกเป็นระยะเวลานาน

มีการสังเกตว่ากลุ่มจะกลับสู่เครือข่ายที่ถูกบุกรุกทุก ๆ สามเดือนเพื่อยืนยันว่าพวกเขายังเข้าถึงได้ รีเฟรชการเข้าถึงหากเครือข่ายนั้นสูญหาย และค้นหาข้อมูลเพิ่มเติมที่น่าสนใจสำหรับการโจมตี

APT27 ตอกย้ำความเก่า ใหม่ อีกครั้ง

ปีที่แล้ว พบว่ากลุ่มนี้ใช้เวอร์ชันอัปเดตของ Remote Access Trojan (RAT) ZxShell ZxShell ได้รับการพัฒนาครั้งแรกในปี 2549 โดยมีซอร์สโค้ดสำหรับโปรแกรมเผยแพร่ในปีต่อไปในปี 2550 มัลแวร์ดังกล่าวมีการเปลี่ยนเส้นทางแพ็กเก็ต HTran ในตัว และลงนามด้วยใบรับรองดิจิทัลของ Hangzhou Shunwang Technology Co. และ ใบรับรองดิจิทัลสำหรับ Shanghai Hintsoft Co., Ltd.

APT27 มีแนวโน้มว่าจะอยู่เบื้องหลังเวอร์ชันดัดแปลงของ Gh0st RAT ที่ปรับใช้ในปี 2018 ซอร์สโค้ดสำหรับ Gh0st RAT ดั้งเดิมนั้นมีให้ใช้งานทางออนไลน์เช่นกัน เวอร์ชันที่อัปเดตนี้ใช้กับหลายระบบในเครือข่ายที่ถูกบุกรุก ตัวอย่างที่พบโดยนักวิจัยสื่อสารบนพอร์ต TCP 443 ผ่านโปรโตคอลไบนารีที่กำหนดเอง พร้อมส่วนหัวที่แก้ไขเพื่อซ่อนการสื่อสารการรับส่งข้อมูลในเครือข่ายได้ดียิ่งขึ้น

ไม่ใช่เนื้อหาเกี่ยวกับการใช้เครื่องมือที่พบทางออนไลน์ APT27 ยังได้พัฒนาและใช้เครื่องมือการเข้าถึงระยะไกลที่เป็นกรรมสิทธิ์ของตนเองอีกด้วย เครื่องมือเหล่านี้ เช่น HyperBro และ SysUpdate ทำมาตั้งแต่ปี 2016

SysUpdate เป็นมัลแวร์แบบหลายขั้นตอนและใช้งานโดย Emissary Panda เท่านั้น มัลแวร์ถูกส่งผ่านหลายวิธี เช่น เอกสาร Word ที่เป็นอันตรายโดยใช้ Dynamic Data Exchange (DDE) การปรับใช้ด้วยตนเองผ่านข้อมูลประจำตัวที่ถูกขโมย และการเปลี่ยนเส้นทางเว็บ และการประนีประนอมทางเว็บเชิงกลยุทธ์ (SWC)

APT27 การปรับใช้และการแพร่กระจายของมัลแวร์

ไม่ว่าจะปรับใช้อะไรก็ตาม เพย์โหลดแรกจะถูกติดตั้งผ่านไฟล์ WinRAR แบบขยายตัวเอง (SFX) ที่ติดตั้งเพย์โหลดสเตจแรกสำหรับ SysUpdate ขั้นตอนแรกทำให้เครื่องทำงานต่อเนื่องก่อนที่จะติดตั้งส่วนข้อมูลขั้นตอนที่สอง หรือที่เรียกว่า SysUpdate Main มัลแวร์สื่อสารผ่าน HTTP และดาวน์โหลดโค้ดเพื่อแทรกลงใน svchost.exe

SysUpdate Main มอบความสามารถในการเข้าถึงระยะไกลให้กับผู้โจมตี RAT ช่วยให้แฮกเกอร์เข้าถึงและจัดการไฟล์และกระบวนการในเครื่อง โต้ตอบกับบริการต่างๆ เรียกใช้ command shell ถ่ายภาพหน้าจอ และอัปโหลดและดาวน์โหลดมัลแวร์อื่นๆ ตามความจำเป็น

SysUpdate เป็นมัลแวร์ที่มีความยืดหยุ่นอย่างน่าทึ่ง ซึ่งสามารถขยายหรือลดขนาดได้ตามต้องการผ่านไฟล์เพย์โหลดอื่นๆ นักวิจัยด้านความปลอดภัยกล่าวว่าความสามารถในการควบคุมการปรากฏตัวของไวรัสอย่างมีประสิทธิภาพทำให้แฮกเกอร์สามารถซ่อนความสามารถทั้งหมดของตนได้

ผู้คุกคามสามารถใช้เครื่องมือที่เป็นกรรมสิทธิ์ของตนได้ในระหว่างการบุกรุกที่ซับซ้อน เครื่องมือเหล่านี้ช่วยให้ควบคุมได้มากขึ้นโดยลดความเสี่ยงในการตรวจจับ ดูเหมือนว่าผู้คุกคามจะเข้าถึงเครือข่ายโดยใช้เครื่องมือที่หาได้ทั่วไป เมื่ออยู่ในระบบแล้ว พวกเขาสามารถหลบเลี่ยงการควบคุมความปลอดภัย เข้าถึงชุดสิทธิ์และการอนุญาตที่สำคัญยิ่งขึ้น และรักษาการเข้าถึงระบบที่มีมูลค่าสูงในระยะยาว ยิ่ง APT27 ใช้เวลาบนเครือข่ายเป้าหมายนานเท่าใด ความเสียหายที่อาจเกิดขึ้นก็จะยิ่งมากขึ้นเท่านั้น ในกรณีที่เลวร้ายที่สุด กลุ่มอาจมีสถานะอยู่ในระบบเป็นเวลาหลายปี รวบรวมข้อมูลที่ละเอียดอ่อนมากมาย และก่อให้เกิดความเสียหายทุกประเภท

เครื่องมือแฮ็คที่สร้างขึ้นเองซึ่งเป็นที่นิยมมากที่สุดแห่งหนึ่งซึ่งพัฒนาโดย APT27 คือภัยคุกคาม SysUpdate นี่คือ RAT (โทรจันการเข้าถึงระยะไกล) ที่ APT27 ดูเหมือนจะเผยแพร่ผ่านอีเมลสแปมปลอมและการโจมตีห่วงโซ่อุปทาน ผู้เชี่ยวชาญด้านมัลแวร์เชื่อว่าอาชญากรไซเบอร์อาจติดตั้ง SysUpdate RAT บนโฮสต์ที่เป็นเป้าหมายด้วยตนเอง โดยที่พวกเขาได้แทรกซึมเข้าไปก่อนหน้านี้ RAT เฉพาะนี้มีโครงสร้างแบบแยกส่วน ซึ่งหมายความว่า APT27 สามารถปลูกสำเนาพื้นฐานของภัยคุกคามบนคอมพิวเตอร์ที่ถูกบุกรุก จากนั้นจึงเพิ่มคุณสมบัติเพิ่มเติมเข้าไป ซึ่งจะทำให้ RAT เป็นอาวุธมากขึ้น

APT27 ดูเหมือนจะเป็นกลุ่มแฮ็คที่ยืดหยุ่นมาก – ทั้งในแง่ของวิธีการเผยแพร่ที่พวกเขาใช้และเครื่องมือที่หลากหลายที่พวกเขาปรับใช้ สิ่งนี้ทำให้ APT27 เป็นกลุ่มอาชญากรไซเบอร์ที่ค่อนข้างคุกคาม ซึ่งไม่ควรมองข้าม