多设备许可证(批量折扣)
Threat Database Advanced Persistent Threat (APT) APT27

APT27

通过GoldSparrowAdvanced Persistent Threat (APT)
翻译为:
汉语

APT27 (Advanced Persistent Threat) 是一个来自中国的黑客组织的名称,它倾向于追踪高调的目标。 APT27 还以各种其他别名而闻名,包括 Emissary Panda、LuckyMouse 和 BronzeUnion。 APT27 开展的最著名的活动之一是他们针对美国国防承包商的攻击。 APT27 的其他流行行动包括针对在金融领域运营的一些公司的活动,以及针对位于中亚的数据中心发起的攻击。 APT27 武器中的黑客工具包括允许他们执行侦察操作、从受感染主机收集敏感文件或接管受感染系统的威胁。

网络安全研究人员于 2010 年首次发现 APT27 的活动,并从那时起一直密切关注它。自从它们首次被发现以来,APT27 已经成功地破坏了在各种关键行业中运作的目标:

  • 政府。
  • 防御。
  • 技术。
  • 活力。
  • 制造业。
  • 航天。

APT27 的黑客武器库中最常用的工具是Gh0st RATZXShellHyperBro 。然而,来自 APT27 的网络骗子不仅仅依赖定制的黑客工具。与许多其他 APT 一样,APT27 也利用合法服务进行恶意操作,以及公开可用的黑客工具。

APT27 出于各种原因攻击了一系列目标,从窃取尖端技术的数据到为政府监视平民团体和持不同政见者。

Emissary Panda 使用现成的工具,例如目标本地的凭据、工具和服务,以及为攻击而开发的自定义恶意软件。该小组专注于在受感染系统上长时间保持存在。

据观察,该组织大约每三个月返回一次受感染的网络,以验证他们是否仍有访问权限,如果访问权限丢失则刷新访问权限,并找到更多对攻击感兴趣的数据。

APT27 再次证明旧的就是新的

去年,有人看到该组织部署了远程访问木马 (RAT) ZxShell 的更新版本。 ZxShell 于 2006 年首次开发,次年于 2007 年发布程序源代码。该恶意软件内置 HTran 数据包重定向,并使用属于杭州顺网科技有限公司的数字证书以及上海欣特软件有限公司数字证书

APT27 也可能是 2018 年部署的 Gh0st RAT 的修改版本的背后。原始 Gh0st RAT 的源代码也可以在线获得。更新版本被用于攻击网络中的多个系统。研究人员发现的样本通过自定义二进制协议在 TCP 端口 443 上进行通信,并修改了标头以更好地隐藏网络流量通信。

不满足于使用在线工具,APT27 还开发并使用了自己的专有远程访问工具系列。这些工具,例如 HyperBro 和 SysUpdate,自 2016 年以来一直在流行。

SysUpdate 是一种多阶段恶意软件,仅供 Emissary Panda 使用。该恶意软件通过多种方法传播,例如使用动态数据交换 (DDE) 的恶意 Word 文档、通过被盗凭据和 Web 重定向进行手动部署,以及战略性 Web 入侵 (SWC)。

APT27 恶意软件部署和传播

无论部署如何,第一个有效负载都是通过自解压 (SFX) WinRAR 文件安装的,该文件安装 SysUpdate 的第一阶段有效负载。第一阶段在安装第二阶段有效负载(称为 SysUpdate Main)之前在机器上实现持久性。该恶意软件通过 HTTP 进行通信并下载代码以注入 svchost.exe。

SysUpdate Main 为攻击者提供了一系列远程访问功能。 RAT 允许黑客访问和管理机器上的文件和进程、与不同的服务交互、启动命令外壳、截屏以及根据需要上传和下载其他恶意软件。

SysUpdate 是一种非常灵活的恶意软件,可以根据需要通过其他有效负载文件进行扩展或缩减。据安全研究人员称,有效控制病毒存在的能力使黑客能够隐藏他们的全部能力。

威胁参与者可以在复杂的入侵过程中利用他们的专有工具。这些工具使他们能够在降低检测风险的情况下进行更多控制。威胁参与者似乎可以使用广泛可用的工具访问网络。一旦他们进入系统,他们就可以绕过安全控制,获得一组更重要的特权和权限,并长期保持对高价值系统的访问。 APT27 在目标网络上花费的时间越长,它可能造成的潜在损害就越大。在最坏的情况下,该组织可能会在系统中存在多年,收集大量敏感信息并造成各种损害。

由 APT27 开发的更流行的定制黑客工具之一是SysUpdate威胁。这是 APT27 似乎通过虚假垃圾邮件和供应链攻击传播的 RAT(远程访问木马)。恶意软件专家认为,网络骗子也可能在目标主机上手动安装 SysUpdate RAT,前提是他们之前已经渗透到目标主机上。这种特定的 RAT 具有模块化结构。这意味着 APT27 可以在受感染的计算机上植入威胁的基本副本,然后为其添加更多功能,进一步将 RAT 武器化。

APT27 似乎是一个非常灵活的黑客组织——无论是就他们使用的传播方法和他们部署的各种工具而言。这使得 APT27 成为一个相当具有威胁性的网络骗子,他们不应被低估。

趋势

“YouPorn”电子邮件诈骗

Spam
在对“YouPorn”电子邮件进行彻底检查后,网络安全专家确认了其欺诈性质。这些电子邮件是各种垃圾邮件变体的一部分,所有这些都类似于性勒索策略。 这些欺骗性电子邮件的共同点是捏造断言,即收件人涉嫌参与 YouPorn 网站上最近发布的露骨色情材料。然后,这些电子邮件会提供多种付款选项,用于删除所述内容并防止将来上传。 必须强调的是,这些电子邮件中提出的所有主张都是毫无根据的,并且此信件与合法的 YouPorn 网站没有任何关系。 “YouPorn”电子邮件骗局旨在通过虚假声明吓唬用户 “YouPorn”垃圾邮件的某些变体的主题行是“紧急:上传内容通知”。这些欺诈性消息声称 YouPorn 的人工智能驱动工具已检测到收件人存在于露骨色情材料中。此声明是作为一种安全措施提出的,因为传播未经同意的图像或视频违反了 YouPorn 的政策。...

Safe Search Eng

Potentially Unwanted Programs, Browser Hijackers
Safe Search Eng 是一种浏览器扩展,它操纵用户 Web 浏览器的搜索功能,将其搜索重定向到不需要的搜索引擎。这种侵入性软件被称为浏览器劫持者,它会更改浏览器的默认搜索引擎设置,迫使其使用 safesearcheng.com。像 Safe Search Eng 这样的浏览器劫持者可能会严重影响设备上的浏览体验。 像安全搜索引擎这样的浏览器劫持者通常会导致隐私问题...

最受关注

如何修复“打印机驱动程序不可用”错误

Issue
22,661
打印机因拒绝在用户最需要的时候完成工作而臭名昭著。幸运的是,如果您的打印机显示“打印机驱动程序不可用”错误,那么有几个简单的解决方案可以解决该问题。此特定错误可能是由损坏的驱动程序文件、过时的驱动程序或驱动程序不兼容引起的。虽然使用 Microsoft 的通用驱动程序可以避免该问题,但我们想向您介绍其他解决方案。 更新打印机的驱动程序...
Discord 在共享屏幕时显示黑屏截图

Discord 在共享屏幕时显示黑屏

Issue
21,818
首次推出时,Discord 是一个面向游戏社区的 VoIP 平台。然而,在接下来的几年里,它扩大了范围,增加了许多新功能,并成为最大的社交平台之一,每月活跃用户超过 1.4 亿。目前,用户可以发送私人即时消息、启动 VoIP 和视频通话、流式传输他们的计算机屏幕,并组织以特定兴趣为中心的称为服务器的社区。 毫无疑问,快速轻松地开始共享计算机屏幕的能力是吸引人们使用 Discord...
正在加载...