APT27

APT27 Paglalarawan

Ang APT27 (Advanced Persistent Threat) ay ang pangalan ng isang pangkat sa pag-hack na nagmula sa China at may posibilidad na sumunod sa mga target na may mataas na profile. Ang APT27 ay kilala rin sa ilalim ng iba't ibang mga alias, kabilang ang Emissary Panda, LuckyMouse at BronzeUnion. Kabilang sa mga pinakakilalang kampanyang isinagawa ng APT27 ay ang kanilang mga pag-atake na nagta-target sa mga kontratista ng depensa ng Estados Unidos. Kasama sa iba pang tanyag na operasyon ng APT27 ang isang kampanya laban sa ilang kumpanyang tumatakbo sa sektor ng pananalapi, gayundin ang isang pag-atake na inilunsad laban sa isang data center na matatagpuan sa Central Asia. Ang mga tool sa pag-hack sa sandata ng APT27 ay kinabibilangan ng mga banta na magpapahintulot sa kanila na magsagawa ng mga operasyon ng reconnaissance, mangolekta ng mga sensitibong file mula sa nahawaang host o kunin ang nakompromisong sistema.

Unang nakita ng mga mananaliksik sa cybersecurity ang aktibidad ng APT27 noong 2010 at patuloy itong sinusubaybayan mula noon. Mula nang una silang makita, nagawa ng APT27 na ikompromiso ang mga target na tumatakbo sa iba't ibang pangunahing industriya:

  • Pamahalaan.
  • Depensa.
  • Teknolohiya.
  • Enerhiya.
  • Paggawa.
  • Aerospace.

Kabilang sa mga pinakaginagamit na tool sa hacking arsenal ng APT27 ay ang Gh0st RAT , ZXShell at HyperBro . Gayunpaman, ang mga cyber crook mula sa APT27 ay hindi umaasa lamang sa mga custom-built na tool sa pag-hack. Ang APT27, tulad ng maraming iba pang mga APT, ay gumagamit din ng mga lehitimong serbisyo para sa kanilang mga kasuklam-suklam na operasyon, pati na rin ang mga magagamit na pampublikong tool sa pag-hack.

Inatake ng APT27 ang isang hanay ng mga target para sa iba't ibang dahilan, mula sa pagnanakaw ng data sa mga makabagong teknolohiya hanggang sa pag-espiya sa mga sibilyang grupo at mga dissidente para sa gobyerno.

Gumagamit ang Emissary Panda ng mga madaling magagamit na tool gaya ng mga kredensyal, tool, at serbisyong native sa target, at custom na malware na binuo para sa mga pag-atake. Nakatuon ang grupo sa pagpapanatili ng presensya sa mga nakompromisong system sa loob ng mahabang panahon.

Naobserbahan ang grupo na bumalik sa mga nakompromisong network halos bawat tatlong buwan upang i-verify na mayroon pa rin silang access, i-refresh ang access kung nawala ito, at makahanap ng higit pang data na interesado sa pag-atake.

APT27 Nagpapakita Kung Ano ang Luma ay Bago Muli

Noong nakaraang taon, nakita ang grupo na nagde-deploy ng mga na-update na bersyon ng remote access na Trojan (RAT) ZxShell. Ang ZxShell ay unang binuo noong 2006, kasama ang source code para sa programa na inilabas noong sumunod na taon noong 2007. Ang malware ay may built-in na HTran packet redirection at nilagdaan gamit ang digital certificate na pagmamay-ari ng Hangzhou Shunwang Technology Co., pati na rin ang isang digital certificate para sa Shanghai Hintsoft Co., Ltd.

Malamang na ang APT27 ang nasa likod ng binagong bersyon ng Gh0st RAT na na-deploy noong 2018. Available din online ang source code para sa orihinal na Gh0st RAT. Ang na-update na bersyon ay ginamit laban sa ilang mga sistema sa isang nakompromisong network. Ang sample na nakita ng mga mananaliksik ay nakikipag-usap sa TCP port 443 sa pamamagitan ng isang custom na binary protocol, na may binagong mga header upang mas maitago ang mga komunikasyon sa trapiko sa network.

Hindi kontento sa paggamit ng mga tool na matatagpuan online, ang APT27 ay bumuo din at gumamit ng sarili nitong hanay ng mga proprietary remote access tool. Ang mga tool na ito, tulad ng HyperBro at SysUpdate, ay umiikot mula noong 2016.

Ang SysUpdate ay isang uri ng multi-stage na malware at ginagamit lamang ng Emissary Panda. Ang malware ay inihahatid sa pamamagitan ng ilang mga pamamaraan, tulad ng mga nakakahamak na dokumento ng Word gamit ang Dynamic Data Exchange (DDE), manu-manong pag-deploy sa pamamagitan ng mga nakaw na kredensyal, at pag-redirect sa web, at strategic web compromise (SWC).

APT27 Malware Deployment at Pagkalat

Anuman ang deployment, naka-install ang unang payload sa pamamagitan ng self-extracting (SFX) WinRAR file na nag-i-install ng unang yugto ng payload para sa SysUpdate. Ang unang yugto ay nakakamit ng pagpupursige sa makina bago i-install ang pangalawang yugto ng payload, na kilala bilang SysUpdate Main. Nakikipag-ugnayan ang malware sa HTTP at nagda-download ng code para i-inject sa svchost.exe.

Ang SysUpdate Main ay naghahatid sa mga umaatake ng hanay ng mga kakayahan sa malayuang pag-access. Ang RAT ay nagpapahintulot sa mga hacker na i-access at pamahalaan ang mga file at proseso sa makina, makipag-ugnayan sa iba't ibang serbisyo, maglunsad ng command shell, kumuha ng mga screenshot, at mag-upload at mag-download ng iba pang malware kung kinakailangan.

Ang SysUpdate ay isang napaka-flexible na malware na maaaring palawakin o bawasan kung kinakailangan sa pamamagitan ng iba pang mga payload file. Ang kakayahang epektibong kontrolin ang pagkakaroon ng virus ay nagpapahintulot sa mga hacker na itago ang kanilang buong kakayahan, ayon sa mga mananaliksik ng seguridad.

Maaaring gamitin ng mga banta ng aktor ang kanilang pagmamay-ari na mga tool sa panahon ng isang sopistikadong panghihimasok. Ang mga tool na ito ay nagbibigay sa kanila ng higit na kontrol sa isang pinababang panganib ng pagtuklas. Ang mga banta ng aktor ay lumilitaw na makakuha ng access sa mga network gamit ang malawak na magagamit na mga tool. Kapag nasa system na sila, maaari nilang iwasan ang mga kontrol sa seguridad, magkaroon ng access sa mas makabuluhang hanay ng mga pribilehiyo at pahintulot, at mapanatili ang access sa mga high-value system sa pangmatagalan. Ang mas mahabang APT27 ay gumagastos sa isang target na network, mas maraming potensyal na pinsala ang magagawa nito. Sa isang pinakamasamang sitwasyon, ang grupo ay maaaring magkaroon ng presensya sa isang sistema sa loob ng maraming taon, nangongolekta ng maraming sensitibong impormasyon at magdulot ng lahat ng uri ng pinsala.

Isa sa mga mas sikat na custom-created hacking tool na binuo ng APT27 ay ang SysUpdate threat. Ito ay isang RAT (Remote Access Trojan) na lumalabas na ipinapalaganap ng APT27 sa pamamagitan ng mga pekeng spam na email at pag-atake ng supply-chain. Naniniwala ang mga eksperto sa malware na ang mga cyber crook ay maaari ding mag-install ng SysUpdate RAT nang manu-mano sa mga target na host, basta't napasok na nila ang mga ito dati. Ang partikular na RAT na ito ay may modular na istraktura. Nangangahulugan ito na ang APT27 ay maaaring magtanim ng isang pangunahing kopya ng banta sa nakompromisong computer, at pagkatapos ay magdagdag ng higit pang mga tampok dito, na pinalalaki pa ang RAT.

Ang APT27 ay lumilitaw na isang napaka-flexible na pangkat ng pag-hack – kapwa patungkol sa mga paraan ng pagpapalaganap na ginagamit nila at ang malawak na iba't ibang mga tool na kanilang idini-deploy. Dahil dito, ang APT27 ay isang medyo nagbabantang grupo ng mga cyber crook, na hindi dapat maliitin.