APT27

APT27 Description

APT27 (Mối đe dọa liên tục nâng cao) là tên của một nhóm hack có nguồn gốc từ Trung Quốc và có xu hướng truy lùng các mục tiêu cao cấp. APT27 còn được biết đến với nhiều bí danh khác, bao gồm Emissary Panda, LuckyMouse và BronzeUnion. Trong số các chiến dịch nổi tiếng nhất do APT27 thực hiện là các cuộc tấn công của chúng nhắm vào các nhà thầu quốc phòng của Hoa Kỳ. Các hoạt động phổ biến khác của APT27 bao gồm chiến dịch chống lại một số công ty hoạt động trong lĩnh vực tài chính, cũng như cuộc tấn công nhằm vào một trung tâm dữ liệu đặt tại Trung Á. Các công cụ hack trong vũ khí của APT27 bao gồm các mối đe dọa cho phép chúng thực hiện các hoạt động do thám, thu thập các tệp nhạy cảm từ máy chủ bị nhiễm hoặc chiếm lấy hệ thống bị xâm nhập.

Các nhà nghiên cứu an ninh mạng lần đầu tiên phát hiện ra hoạt động của APT27 vào năm 2010 và đã theo dõi chặt chẽ kể từ đó. Kể từ khi chúng được phát hiện lần đầu tiên, APT27 đã quản lý để thỏa hiệp các mục tiêu hoạt động trong nhiều ngành công nghiệp chính:

  • Chính phủ.
  • Phòng thủ.
  • Công nghệ.
  • Năng lượng.
  • Chế tạo.
  • Không gian vũ trụ.

Trong số các công cụ được sử dụng nhiều nhất trong kho vũ khí hack của APT27 là Gh0st RAT , ZXShellHyperBro . Tuy nhiên, những kẻ gian mạng từ APT27 không chỉ dựa vào các công cụ hack được xây dựng tùy chỉnh. APT27, giống như nhiều APT khác, cũng sử dụng các dịch vụ hợp pháp cho các hoạt động bất chính của họ, cũng như các công cụ tấn công công khai.

APT27 đã tấn công hàng loạt mục tiêu vì nhiều lý do, từ ăn cắp dữ liệu về các công nghệ tiên tiến đến do thám các nhóm dân sự và những người bất đồng chính kiến cho chính phủ.

Emissary Panda sử dụng các công cụ sẵn có như thông tin xác thực, công cụ và dịch vụ dành riêng cho mục tiêu và phần mềm độc hại tùy chỉnh được phát triển để tấn công. Nhóm tập trung vào việc duy trì sự hiện diện trên các hệ thống bị xâm nhập trong một thời gian dài.

Nhóm được quan sát thấy quay lại các mạng bị xâm nhập khoảng ba tháng một lần để xác minh rằng họ vẫn có quyền truy cập, làm mới quyền truy cập nếu nó bị mất và tìm thêm dữ liệu quan tâm đến cuộc tấn công.

APT27 chứng tỏ cái cũ là cái mới

Năm ngoái, nhóm đã được nhìn thấy đang triển khai các phiên bản cập nhật của Trojan truy cập từ xa (RAT) ZxShell. ZxShell được phát triển lần đầu tiên vào năm 2006, với mã nguồn của chương trình được phát hành vào năm sau vào năm 2007. Phần mềm độc hại này có tích hợp chuyển hướng gói HTran và được ký bằng chứng chỉ kỹ thuật số thuộc Công ty Công nghệ Hàng Châu Shunwang, cũng như một chứng chỉ số cho Shanghai Hintsoft Co., Ltd.

APT27 cũng có khả năng đứng sau một phiên bản sửa đổi của Gh0st RAT được triển khai vào năm 2018. Mã nguồn cho Gh0st RAT ban đầu cũng có sẵn trực tuyến. Phiên bản cập nhật đã được sử dụng chống lại một số hệ thống trong mạng bị xâm nhập. Mẫu được các nhà nghiên cứu phát hiện giao tiếp trên cổng TCP 443 thông qua một giao thức nhị phân tùy chỉnh, với các tiêu đề được sửa đổi để ẩn tốt hơn các giao tiếp lưu lượng mạng.

Không bằng lòng với việc sử dụng các công cụ tìm thấy trực tuyến, APT27 cũng đã phát triển và sử dụng nhiều loại công cụ truy cập từ xa độc quyền của riêng mình. Những công cụ này, chẳng hạn như HyperBro và SysUpdate, đã được thực hiện từ năm 2016.

SysUpdate là một loại phần mềm độc hại nhiều giai đoạn và chỉ được sử dụng bởi Emissary Panda. Phần mềm độc hại được phân phối thông qua một số phương pháp, chẳng hạn như tài liệu Word độc hại sử dụng Trao đổi dữ liệu động (DDE), triển khai thủ công thông qua thông tin đăng nhập bị đánh cắp, chuyển hướng web và xâm nhập web chiến lược (SWC).

Triển khai và lây lan phần mềm độc hại APT27

Cho dù triển khai, tải trọng đầu tiên được cài đặt thông qua tệp WinRAR tự giải nén (SFX) để cài đặt tải trọng giai đoạn đầu tiên cho SysUpdate. Giai đoạn đầu tiên đạt được sự bền bỉ trên máy trước khi cài đặt tải trọng giai đoạn thứ hai, được gọi là SysUpdate Main. Phần mềm độc hại giao tiếp qua HTTP và tải mã xuống để đưa vào svchost.exe.

SysUpdate Main cung cấp cho những kẻ tấn công một loạt các khả năng truy cập từ xa. RAT cho phép tin tặc truy cập và quản lý các tệp và quy trình trên máy, tương tác với các dịch vụ khác nhau, khởi chạy trình bao lệnh, chụp ảnh màn hình cũng như tải lên và tải xuống phần mềm độc hại khác nếu cần.

SysUpdate là một phần mềm độc hại rất linh hoạt, có thể được mở rộng hoặc thu nhỏ khi cần thông qua các tệp tải trọng khác. Theo các nhà nghiên cứu bảo mật, khả năng kiểm soát hiệu quả sự hiện diện của virus cho phép tin tặc che giấu toàn bộ khả năng của chúng.

Các tác nhân đe dọa có thể sử dụng các công cụ độc quyền của họ trong một cuộc xâm nhập tinh vi. Những công cụ này cho phép họ kiểm soát nhiều hơn và giảm rủi ro bị phát hiện. Các tác nhân đe dọa dường như giành được quyền truy cập vào mạng bằng các công cụ có sẵn rộng rãi. Khi đã ở trên hệ thống, họ có thể vượt qua các biện pháp kiểm soát bảo mật, giành quyền truy cập vào một tập hợp đặc quyền và quyền quan trọng hơn, đồng thời duy trì quyền truy cập vào các hệ thống có giá trị cao trong dài hạn. APT27 sử dụng mạng mục tiêu càng lâu thì càng có nhiều khả năng gây sát thương. Trong trường hợp xấu nhất, nhóm có thể hiện diện trên một hệ thống trong nhiều năm, thu thập nhiều thông tin nhạy cảm và gây ra đủ loại thiệt hại.

Một trong những công cụ hack được tạo tùy chỉnh phổ biến hơn được phát triển bởi APT27 là mối đe dọa SysUpdate. Đây là một RAT (Trojan Truy cập Từ xa) mà APT27 dường như phát tán thông qua các email spam giả mạo và các cuộc tấn công chuỗi cung ứng. Các chuyên gia phần mềm độc hại tin rằng những kẻ gian mạng cũng có thể cài đặt SysUpdate RAT trên các máy chủ được nhắm mục tiêu theo cách thủ công, miễn là chúng đã xâm nhập vào chúng trước đó. RAT cụ thể này có cấu trúc mô-đun. Điều này có nghĩa là APT27 có thể tạo một bản sao cơ bản của mối đe dọa trên máy tính bị xâm nhập, sau đó bổ sung thêm các tính năng cho nó, vũ khí hóa RAT hơn nữa.

APT27 dường như là một nhóm hack rất linh hoạt - cả về phương pháp truyền bá mà chúng sử dụng và nhiều loại công cụ mà chúng triển khai. Điều này làm cho APT27 trở thành một nhóm kẻ gian mạng khá đe dọa, những kẻ không nên coi thường.