APT27

APT27

APT27 (Advanced Persistent Threat) 是一个来自中国的黑客组织的名称,它倾向于追踪高调的目标。 APT27 还以各种其他别名而闻名,包括 Emissary Panda、LuckyMouse 和 BronzeUnion。 APT27 开展的最著名的活动之一是他们针对美国国防承包商的攻击。 APT27 的其他流行行动包括针对在金融领域运营的一些公司的活动,以及针对位于中亚的数据中心发起的攻击。 APT27 武器中的黑客工具包括允许他们执行侦察操作、从受感染主机收集敏感文件或接管受感染系统的威胁。

网络安全研究人员于 2010 年首次发现 APT27 的活动,并从那时起一直密切关注它。自从它们首次被发现以来,APT27 已经成功地破坏了在各种关键行业中运作的目标:

  • 政府。
  • 防御。
  • 技术。
  • 活力。
  • 制造业。
  • 航天。

APT27 的黑客武器库中最常用的工具是Gh0st RATZXShellHyperBro 。然而,来自 APT27 的网络骗子不仅仅依赖定制的黑客工具。与许多其他 APT 一样,APT27 也利用合法服务进行恶意操作,以及公开可用的黑客工具。

APT27 出于各种原因攻击了一系列目标,从窃取尖端技术的数据到为政府监视平民团体和持不同政见者。

Emissary Panda 使用现成的工具,例如目标本地的凭据、工具和服务,以及为攻击而开发的自定义恶意软件。该小组专注于在受感染系统上长时间保持存在。

据观察,该组织大约每三个月返回一次受感染的网络,以验证他们是否仍有访问权限,如果访问权限丢失则刷新访问权限,并找到更多对攻击感兴趣的数据。

APT27 再次证明旧的就是新的

去年,有人看到该组织部署了远程访问木马 (RAT) ZxShell 的更新版本。 ZxShell 于 2006 年首次开发,次年于 2007 年发布程序源代码。该恶意软件内置 HTran 数据包重定向,并使用属于杭州顺网科技有限公司的数字证书以及上海欣特软件有限公司数字证书

APT27 也可能是 2018 年部署的 Gh0st RAT 的修改版本的背后。原始 Gh0st RAT 的源代码也可以在线获得。更新版本被用于攻击网络中的多个系统。研究人员发现的样本通过自定义二进制协议在 TCP 端口 443 上进行通信,并修改了标头以更好地隐藏网络流量通信。

不满足于使用在线工具,APT27 还开发并使用了自己的专有远程访问工具系列。这些工具,例如 HyperBro 和 SysUpdate,自 2016 年以来一直在流行。

SysUpdate 是一种多阶段恶意软件,仅供 Emissary Panda 使用。该恶意软件通过多种方法传播,例如使用动态数据交换 (DDE) 的恶意 Word 文档、通过被盗凭据和 Web 重定向进行手动部署,以及战略性 Web 入侵 (SWC)。

APT27 恶意软件部署和传播

无论部署如何,第一个有效负载都是通过自解压 (SFX) WinRAR 文件安装的,该文件安装 SysUpdate 的第一阶段有效负载。第一阶段在安装第二阶段有效负载(称为 SysUpdate Main)之前在机器上实现持久性。该恶意软件通过 HTTP 进行通信并下载代码以注入 svchost.exe。

SysUpdate Main 为攻击者提供了一系列远程访问功能。 RAT 允许黑客访问和管理机器上的文件和进程、与不同的服务交互、启动命令外壳、截屏以及根据需要上传和下载其他恶意软件。

SysUpdate 是一种非常灵活的恶意软件,可以根据需要通过其他有效负载文件进行扩展或缩减。据安全研究人员称,有效控制病毒存在的能力使黑客能够隐藏他们的全部能力。

威胁参与者可以在复杂的入侵过程中利用他们的专有工具。这些工具使他们能够在降低检测风险的情况下进行更多控制。威胁参与者似乎可以使用广泛可用的工具访问网络。一旦他们进入系统,他们就可以绕过安全控制,获得一组更重要的特权和权限,并长期保持对高价值系统的访问。 APT27 在目标网络上花费的时间越长,它可能造成的潜在损害就越大。在最坏的情况下,该组织可能会在系统中存在多年,收集大量敏感信息并造成各种损害。

由 APT27 开发的更流行的定制黑客工具之一是SysUpdate威胁。这是 APT27 似乎通过虚假垃圾邮件和供应链攻击传播的 RAT(远程访问木马)。恶意软件专家认为,网络骗子也可能在目标主机上手动安装 SysUpdate RAT,前提是他们之前已经渗透到目标主机上。这种特定的 RAT 具有模块化结构。这意味着 APT27 可以在受感染的计算机上植入威胁的基本副本,然后为其添加更多功能,进一步将 RAT 武器化。

APT27 似乎是一个非常灵活的黑客组织——无论是就他们使用的传播方法和他们部署的各种工具而言。这使得 APT27 成为一个相当具有威胁性的网络骗子,他们不应被低估。

趋势

最受关注

正在加载...