APT27

APT27 (Gelişmiş Kalıcı Tehdit), Çin'den gelen ve yüksek profilli hedeflerin peşinden gitme eğiliminde olan bir bilgisayar korsanlığı grubunun adıdır. APT27 ayrıca Emissary Panda, LuckyMouse ve BronzeUnion dahil olmak üzere çeşitli diğer takma adlarla bilinir. APT27 tarafından yürütülen en iyi bilinen kampanyalardan biri, ABD'nin savunma müteahhitlerini hedef alan saldırılarıdır. APT27'nin diğer popüler operasyonları arasında finans sektöründe faaliyet gösteren bir dizi şirkete yönelik bir kampanyanın yanı sıra Orta Asya'da bulunan bir veri merkezine yönelik başlatılan bir saldırı yer alıyor. APT27'nin silahlarındaki bilgisayar korsanlığı araçları, keşif operasyonları gerçekleştirmelerine, virüslü ana bilgisayardan hassas dosyalar toplamalarına veya ele geçirilen sistemi ele geçirmelerine izin verecek tehditleri içeriyor.

Siber güvenlik araştırmacıları, APT27'nin etkinliğini ilk olarak 2010'da fark etti ve o zamandan beri yakından takip ediyor. APT27, ilk fark edildiklerinden bu yana, çeşitli kilit sektörlerde faaliyet gösteren hedeflerden ödün vermeyi başardı:

• Devlet.
• Savunma.
• teknoloji.
• Enerji.
• Üretme.
• Havacılık.

APT27'nin bilgisayar korsanlığı cephaneliğinde en çok kullanılan araçlar arasında Gh0st RAT , ZXShell ve HyperBro bulunmaktadır . Ancak, APT27'den gelen siber dolandırıcılar, yalnızca özel olarak oluşturulmuş bilgisayar korsanlığı araçlarına güvenmiyor. APT27, diğer birçok APT gibi, hain operasyonları için meşru hizmetleri ve ayrıca halka açık bilgisayar korsanlığı araçlarını kullanır.

APT27, en son teknolojilerle ilgili verileri çalmaktan hükümet adına sivil gruplar ve muhalifleri gözetlemeye kadar çeşitli nedenlerle çeşitli hedeflere saldırdı.

Elçi Panda, kimlik bilgileri, araçlar ve hedefe özgü hizmetler gibi hazır araçları ve saldırılar için geliştirilmiş özel kötü amaçlı yazılımları kullanır. Grup, güvenliği ihlal edilmiş sistemlerde uzun bir süre varlığını sürdürmeye odaklanır.

Grubun, hâlâ erişimleri olduğunu doğrulamak, kaybedildiyse erişimi yenilemek ve saldırıyla ilgili daha fazla veri bulmak için kabaca her üç ayda bir güvenliği ihlal edilmiş ağlara geri döndüğü gözlemlendi.

APT27 Eskinin Yeni Olduğunu Tekrar Gösteriyor

Geçen yıl, grubun uzaktan erişim Truva Atı (RAT) ZxShell'in güncellenmiş sürümlerini dağıttığı görüldü. ZxShell ilk olarak 2006'da geliştirildi ve programın kaynak kodu ertesi yıl 2007'de yayınlandı. Kötü amaçlı yazılım yerleşik HTran paket yeniden yönlendirmesine sahiptir ve Hangzhou Shunwang Technology Co.'ya ait bir dijital sertifika ile imzalanmıştır. Shanghai Hintsoft Co., Ltd. için dijital sertifika

APT27, 2018'de dağıtılan Gh0st RAT'ın değiştirilmiş bir sürümünün arkasında da büyük olasılıkla yer aldı. Orijinal Gh0st RAT'ın kaynak kodu da çevrimiçi olarak mevcuttur. Güncellenmiş sürüm, güvenliği ihlal edilmiş bir ağdaki çeşitli sistemlere karşı kullanıldı. Araştırmacılar tarafından tespit edilen örnek, ağ trafiği iletişimlerini daha iyi gizlemek için değiştirilmiş başlıklarla özel bir ikili protokol aracılığıyla 443 numaralı TCP bağlantı noktasında iletişim kurar.

Çevrimiçi bulunan araçları kullanmakla yetinmeyen APT27, kendi özel uzaktan erişim araçlarını da geliştirmiş ve kullanmıştır. HyperBro ve SysUpdate gibi bu araçlar 2016'dan beri ortalıkta dolaşmaktadır.

SysUpdate, bir tür çok aşamalı kötü amaçlı yazılımdır ve yalnızca Emissary Panda tarafından kullanılır. Kötü amaçlı yazılım, Dinamik Veri Değişimi (DDE) kullanan kötü amaçlı Word belgeleri, çalınan kimlik bilgileri aracılığıyla manuel dağıtım ve web yönlendirmeleri ve stratejik web güvenliği (SWC) gibi çeşitli yöntemlerle sağlanır.

APT27 Kötü Amaçlı Yazılım Dağıtımı ve Yayılması

Dağıtım ne olursa olsun, ilk yük, SysUpdate için ilk aşama yükünü yükleyen kendi kendine açılan (SFX) bir WinRAR dosyası aracılığıyla yüklenir. İlk aşama, SysUpdate Main olarak bilinen ikinci aşama yükü yüklemeden önce makinede kalıcılık sağlar. Kötü amaçlı yazılım HTTP üzerinden iletişim kurar ve svchost.exe'ye enjekte edilecek kodu indirir.

SysUpdate Main, saldırganlara bir dizi uzaktan erişim yeteneği sunar. RAT, bilgisayar korsanlarının makinedeki dosyalara ve işlemlere erişmesine ve bunları yönetmesine, farklı hizmetlerle etkileşime girmesine, bir komut kabuğu başlatmasına, ekran görüntüleri almasına ve gerektiğinde diğer kötü amaçlı yazılımları yüklemesine ve indirmesine olanak tanır.

SysUpdate, gerektiğinde diğer yük dosyaları aracılığıyla genişletilebilen veya azaltılabilen oldukça esnek bir kötü amaçlı yazılımdır. Güvenlik araştırmacılarına göre, virüsün varlığını etkili bir şekilde kontrol etme yeteneği, bilgisayar korsanlarının tüm yeteneklerini gizlemelerine izin veriyor.

Tehdit aktörleri, karmaşık bir izinsiz giriş sırasında kendi özel araçlarından yararlanabilir. Bu araçlar, daha düşük bir algılama riskiyle onlara daha fazla kontrol sağlar. Tehdit aktörleri, yaygın olarak bulunan araçları kullanarak ağlara erişim sağlıyor gibi görünüyor. Sisteme girdikten sonra güvenlik kontrollerini atlatabilir, daha önemli ayrıcalık ve izinlere erişim kazanabilir ve uzun vadede yüksek değerli sistemlere erişimi sürdürebilirler. APT27 bir hedef ağda ne kadar uzun süre harcarsa, o kadar fazla potansiyel hasar verebilir. En kötü senaryoda, grup yıllarca bir sistemde var olabilir, çok sayıda hassas bilgi toplayabilir ve her türlü hasara neden olabilir.

APT27 tarafından geliştirilen en popüler özel olarak oluşturulmuş bilgisayar korsanlığı araçlarından biri SysUpdate tehdididir. Bu, APT27'nin sahte spam e-postaları ve tedarik zinciri saldırıları yoluyla yaydığı görünen bir RAT'dir (Uzaktan Erişim Truva Atı). Kötü amaçlı yazılım uzmanları, daha önce sızmış olmaları koşuluyla, siber dolandırıcıların SysUpdate RAT'ı hedeflenen ana bilgisayarlara manuel olarak da yükleyebileceğine inanıyor. Bu özel RAT modüler bir yapıya sahiptir. Bu, APT27'nin güvenliği ihlal edilmiş bilgisayara tehdidin temel bir kopyasını yerleştirebileceği ve daha sonra ona daha fazla özellik ekleyerek RAT'ı daha da silahlandırabileceği anlamına gelir.

APT27, hem kullandıkları yayılma yöntemleri hem de kullandıkları çok çeşitli araçlar açısından çok esnek bir bilgisayar korsanlığı grubu gibi görünüyor. Bu, APT27'yi hafife alınmaması gereken oldukça tehditkar bir siber dolandırıcı grubu haline getiriyor.