多設備許可證(批量折扣)
Threat Database Advanced Persistent Threat (APT) APT27

APT27

Advanced Persistent Threat (APT)GoldSparrow
翻譯為:
漢語

APT27 (Advanced Persistent Threat) 是一個源自中國的黑客組織的名稱,它傾向於追踪高知名度的目標。 APT27 還以各種其他別名而聞名,包括 Emissary Panda、LuckyMouse 和 BronzeUnion。 APT27 開展的最著名的活動之一是他們針對美國國防承包商的攻擊。 APT27 的其他流行行動包括針對在金融領域運營的一些公司的活動,以及針對位於中亞的數據中心發起的攻擊。 APT27 武器中的黑客工具包括允許他們執行偵察操作、從受感染主機收集敏感文件或接管受感染系統的威脅。

網絡安全研究人員於 2010 年首次發現 APT27 的活動,並從那時起一直密切關注它。自從它們首次被發現以來,APT27 已經成功地破壞了在各種關鍵行業中運作的目標:

  • 政府。
  • 防禦。
  • 技術。
  • 活力。
  • 製造業。
  • 航天。

APT27 的黑客武器庫中最常用的工具是Gh0st RATZXShellHyperBro 。然而,來自 APT27 的網絡騙子不僅僅依賴定制的黑客工具。與許多其他 APT 一樣,APT27 也利用合法服務進行惡意操作,以及公開可用的黑客工具。

APT27 出於各種原因攻擊了一系列目標,從竊取尖端技術的數據到為政府監視平民團體和持不同政見者。

Emissary Panda 使用現成的工具,例如目標本地的憑據、工具和服務,以及為攻擊而開發的自定義惡意軟件。該小組專注於在受感染系統上長時間保持存在。

據觀察,該組織大約每三個月返回一次受感染的網絡,以驗證他們是否仍有訪問權限,如果訪問權限丟失則刷新訪問權限,並找到更多對攻擊感興趣的數據。

APT27 再次證明舊的就是新的

去年,有人看到該組織部署了遠程訪問木馬 (RAT) ZxShell 的更新版本。 ZxShell 於 2006 年首次開發,次年於 2007 年發布程序源代碼。該惡意軟件內置 HTran 數據包重定向,並使用屬於杭州順網科技有限公司的數字證書以及上海欣特軟件有限公司數字證書

APT27 也可能是 2018 年部署的 Gh0st RAT 的修改版本的背後。原始 Gh0st RAT 的源代碼也可以在線獲得。更新版本被用於攻擊網絡中的多個系統。研究人員發現的樣本通過自定義二進制協議在 TCP 端口 443 上進行通信,並修改了標頭以更好地隱藏網絡流量通信。

不滿足於使用在線工具,APT27 還開發並使用了自己的專有遠程訪問工具系列。這些工具,例如 HyperBro 和 SysUpdate,自 2016 年以來一直在流行。

SysUpdate 是一種多階段惡意軟件,僅供 Emissary Panda 使用。該惡意軟件通過多種方法傳播,例如使用動態數據交換 (DDE) 的惡意 Word 文檔、通過被盜憑據和 Web 重定向進行手動部署,以及戰略性 Web 攻擊 (SWC)。

APT27 惡意軟件部署和傳播

無論部署如何,第一個有效負載都是通過自解壓 (SFX) WinRAR 文件安裝的,該文件為 SysUpdate 安裝第一階段有效負載。第一階段在安裝第二階段有效負載(稱為 SysUpdate Main)之前在機器上實現持久性。該惡意軟件通過 HTTP 進行通信並下載代碼以注入 svchost.exe。

SysUpdate Main 為攻擊者提供了一系列遠程訪問功能。 RAT 允許黑客訪問和管理機器上的文件和進程、與不同的服務交互、啟動命令外殼、截屏以及根據需要上傳和下載其他惡意軟件。

SysUpdate 是一種非常靈活的惡意軟件,可以根據需要通過其他有效負載文件進行擴展或縮減。據安全研究人員稱,有效控制病毒存在的能力使黑客能夠隱藏其全部能力。

威脅參與者可以在復雜的入侵過程中利用他們的專有工具。這些工具使他們能夠在降低檢測風險的情況下進行更多控制。威脅參與者似乎可以使用廣泛可用的工具訪問網絡。一旦他們進入系統,他們就可以繞過安全控制,獲得一組更重要的特權和權限,並長期保持對高價值系統的訪問。 APT27 在目標網絡上花費的時間越長,它可能造成的潛在損害就越大。在最壞的情況下,該組織可能會在系統中存在多年,收集大量敏感信息並造成各種損害。

由 APT27 開發的更流行的定制黑客工具之一是SysUpdate威脅。這是 APT27 似乎通過虛假垃圾郵件和供應鏈攻擊傳播的 RAT(遠程訪問木馬)。惡意軟件專家認為,網絡騙子也可能在目標主機上手動安裝 SysUpdate RAT,前提是他們之前已經滲透到目標主機上。這種特定的 RAT 具有模塊化結構。這意味著 APT27 可以在受感染的計算機上植入威脅的基本副本,然後為其添加更多功能,進一步將 RAT 武器化。

APT27 似乎是一個非常靈活的黑客組織——無論是就他們使用的傳播方法和他們部署的各種工具而言。這使得 APT27 成為一個相當具有威脅性的網絡騙子群體,他們不應被低估。

熱門

“YouPorn”電子郵件詐騙

Spam
在對“YouPorn”電子郵件進行徹底檢查後,網絡安全專家確認了其欺詐性質。這些電子郵件是各種垃圾郵件變體的一部分,所有這些都類似於性勒索策略。 這些欺騙性電子郵件的共同點是捏造斷言,即收件人涉嫌參與 YouPorn 網站上最近發布的露骨色情材料。然後,這些電子郵件會提供多種付款選項,用於刪除所述內容並防止將來上傳。 必須強調的是,這些電子郵件中提出的所有主張都是毫無根據的,並且此信件與合法的 YouPorn 網站沒有任何關係。 “YouPorn”電子郵件騙局旨在通過虛假聲明嚇唬用戶 “YouPorn”垃圾郵件的某些變體的主題行是“緊急:上傳內容通知”。這些欺詐性消息聲稱 YouPorn 的人工智能驅動工具已檢測到收件人存在於露骨色情材料中。此聲明是作為一種安全措施提出的,因為傳播未經同意的圖像或視頻違反了 YouPorn 的政策。...

Safe Search Eng

Potentially Unwanted Programs, Browser Hijackers
Safe Search Eng 是一種瀏覽器擴展,它操縱用戶 Web 瀏覽器的搜索功能,將其搜索重定向到不需要的搜索引擎。這種侵入性軟件被稱為瀏覽器劫持者,它會更改瀏覽器的默認搜索引擎設置,迫使其使用 safesearcheng.com。像 Safe Search Eng 這樣的瀏覽器劫持者可能會嚴重影響設備上的瀏覽體驗。 像安全搜索引擎這樣的瀏覽器劫持者通常會導致隱私問題...

最受關注

如何修復“打印機驅動程序不可用”錯誤

Issue
22,661
打印機因拒絕在用戶最需要的時候完成工作而臭名昭著。幸運的是,如果您的打印機顯示“打印機驅動程序不可用”錯誤,那麼有幾個簡單的解決方案可以解決該問題。此特定錯誤可能是由損壞的驅動程序文件、過時的驅動程序或驅動程序不兼容引起的。雖然使用 Microsoft 的通用驅動程序可以避免該問題,但我們想向您介紹其他解決方案。 更新打印機的驅動程序...
Discord 在共享屏幕時顯示黑屏截图

Discord 在共享屏幕時顯示黑屏

Issue
21,818
首次推出時,Discord 是一個面向遊戲社區的 VoIP 平台。然而,在接下來的幾年裡,它擴大了範圍,增加了許多新功能,並成為最大的社交平台之一,每月活躍用戶超過 1.4 億。目前,用戶可以發送私人即時消息、啟動 VoIP 和視頻通話、流式傳輸他們的計算機屏幕,並組織以特定興趣為中心的稱為服務器的社區。 毫無疑問,快速輕鬆地開始共享計算機屏幕的能力是吸引人們使用 Discord...
加載中...