APT27

APT27 (Advanced Persistent Threat) — це назва хакерської групи, яка походить з Китаю і має тенденцію переслідувати високопоставлені цілі. APT27 також відомий під різними псевдонімами, включаючи Emissary Panda, LuckyMouse і BronzeUnion. Серед найвідоміших кампаній, проведених APT27, є їхні атаки на оборонних підрядників Сполучених Штатів. Інші популярні операції APT27 включають кампанію проти низки компаній, що працюють у фінансовому секторі, а також атаку на центр обробки даних, розташований у Центральній Азії. Інструменти злому в озброєнні APT27 включають загрози, які дозволять їм проводити розвідувальні операції, збирати конфіденційні файли із зараженого хоста або захоплювати зламану систему.

Дослідники кібербезпеки вперше помітили активність APT27 у 2010 році і з тих пір уважно стежать за нею. З тих пір, як вони були вперше помічені, APT27 вдалося скомпрометувати цілі, які працюють у різних ключових галузях:

• уряд.
• Оборона.
• Технологія.
• Енергія.
• Виробництво.
• Аерокосмічний.

Серед найбільш використовуваних інструментів в арсеналі злому APT27 є Gh0st RAT , ZXShell і HyperBro . Однак кібер-шахраї з APT27 не покладаються лише на спеціально створені інструменти злому. APT27, як і багато інших APT, також використовує законні служби для своїх підлих операцій, а також загальнодоступні інструменти злому.

APT27 атакував низку цілей з різних причин, від крадіжки даних про передові технології до шпигунства за цивільними групами та дисидентами на користь уряду.

Emissary Panda використовує легкодоступні інструменти, такі як облікові дані, інструменти та служби, які є рідними для цілі, а також спеціальні зловмисні програми, розроблені для атак. Група зосереджується на підтримці присутності на скомпрометованих системах протягом тривалого періоду часу.

Було помічено, що група повертається до скомпрометованих мереж приблизно кожні три місяці, щоб перевірити, чи вони все ще мають доступ, оновити доступ, якщо він був втрачений, і знайти більше даних, що цікавлять атаку.

APT27 демонструє, що старе знову нове

Минулого року група була помічена в розгортанні оновлених версій трояну віддаленого доступу (RAT) ZxShell. ZxShell вперше було розроблено в 2006 році, вихідний код програми був випущений наступного року в 2007 році. Зловмисне програмне забезпечення має вбудовану перенаправлення пакетів HTran і було підписане цифровим сертифікатом, що належить Hangzhou Shunwang Technology Co., а також цифровий сертифікат для Shanghai Hintsoft Co., Ltd.

APT27 також, ймовірно, стояв за модифікованою версією Gh0st RAT, розгорнутою в 2018 році. Вихідний код оригінального Gh0st RAT також доступний в Інтернеті. Оновлену версію використовували проти кількох систем у зламаній мережі. Зразок, помічений дослідниками, зв’язується через порт TCP 443 за допомогою спеціального двійкового протоколу зі зміненими заголовками, щоб краще приховати зв’язок мережевого трафіку.

Не задовольняючись використанням інструментів, знайдених в Інтернеті, APT27 також розробив і застосував власний асортимент власних інструментів віддаленого доступу. Ці інструменти, такі як HyperBro і SysUpdate, почали діяти з 2016 року.

SysUpdate є різновидом багатоетапного шкідливого програмного забезпечення, яке використовується лише Emissary Panda. Шкідливе програмне забезпечення доставляється кількома методами, такими як шкідливі документи Word за допомогою динамічного обміну даними (DDE), розгортання вручну за допомогою вкрадених облікових даних і веб-переадресації, а також стратегічний компроміс (SWC).

APT27 Розгортання та поширення зловмисного програмного забезпечення

Незалежно від розгортання, перше корисне навантаження встановлюється через файл WinRAR, що саморозпаковується (SFX), який встановлює корисне навантаження першого етапу для SysUpdate. Перший етап забезпечує збереження на машині перед встановленням корисного навантаження другого етапу, відомого як SysUpdate Main. Шкідливе програмне забезпечення спілкується через HTTP і завантажує код для введення в svchost.exe.

SysUpdate Main надає зловмисникам широкий спектр можливостей віддаленого доступу. RAT дозволяє хакерам отримувати доступ до файлів і процесів на комп’ютері та керувати ними, взаємодіяти з різними службами, запускати командну оболонку, робити знімки екрана, а також завантажувати та завантажувати інше шкідливе програмне забезпечення за потреби.

SysUpdate – це надзвичайно гнучка шкідлива програма, яку можна розширити або зменшити за потреби за допомогою інших файлів корисного навантаження. За словами дослідників безпеки, здатність ефективно контролювати наявність вірусу дозволяє хакерам приховати всі свої можливості.

Зловмисники можуть використовувати свої власні інструменти під час витонченого вторгнення. Ці інструменти дають їм більший контроль із меншим ризиком виявлення. Здається, загрози отримують доступ до мереж за допомогою широко доступних інструментів. Після того, як вони знаходяться в системі, вони можуть обійти контроль безпеки, отримати доступ до більш значного набору привілеїв і дозволів і зберегти доступ до високоцінних систем у довгостроковій перспективі. Чим довше APT27 витрачає на цільову мережу, тим більше потенційної шкоди він може завдати. У гіршому випадку група може бути присутнім у системі роками, збираючи багато конфіденційної інформації та завдаючи різного роду збитків.

Одним з найбільш популярних спеціально створених інструментів злому, розроблених APT27, є загроза SysUpdate. Це RAT (троян віддаленого доступу), який, здається, APT27 поширює через фальшиві спамові листи та атаки на ланцюжок поставок. Експерти зі шкідливого програмного забезпечення вважають, що кібер-шахраї також можуть встановити SysUpdate RAT на цільові хости вручну, за умови, що вони проникли на них раніше. Цей конкретний RAT має модульну структуру. Це означає, що APT27 може розмістити базову копію загрози на зламаному комп’ютері, а потім додати до нього більше функцій, ще більше озброївши RAT.

APT27 виглядає як дуже гнучка хакерська група – як щодо методів поширення, які вони використовують, так і щодо широкого спектру інструментів, які вони розгортають. Це робить APT27 досить загрозливою групою кібер-шахраїв, яких не слід недооцінювати.