APT27

APT27說明

APT27 (Advanced Persistent Threat) 是一個源自中國的黑客組織的名稱,它傾向於追踪高知名度的目標。 APT27 還以各種其他別名而聞名,包括 Emissary Panda、LuckyMouse 和 BronzeUnion。 APT27 開展的最著名的活動之一是他們針對美國國防承包商的攻擊。 APT27 的其他流行行動包括針對在金融領域運營的一些公司的活動,以及針對位於中亞的數據中心發起的攻擊。 APT27 武器中的黑客工具包括允許他們執行偵察操作、從受感染主機收集敏感文件或接管受感染系統的威脅。

網絡安全研究人員於 2010 年首次發現 APT27 的活動,並從那時起一直密切關注它。自從它們首次被發現以來,APT27 已經成功地破壞了在各種關鍵行業中運作的目標:

  • 政府。
  • 防禦。
  • 技術。
  • 活力。
  • 製造業。
  • 航天。

APT27 的黑客武器庫中最常用的工具是Gh0st RATZXShellHyperBro 。然而,來自 APT27 的網絡騙子不僅僅依賴定制的黑客工具。與許多其他 APT 一樣,APT27 也利用合法服務進行惡意操作,以及公開可用的黑客工具。

APT27 出於各種原因攻擊了一系列目標,從竊取尖端技術的數據到為政府監視平民團體和持不同政見者。

Emissary Panda 使用現成的工具,例如目標本地的憑據、工具和服務,以及為攻擊而開發的自定義惡意軟件。該小組專注於在受感染系統上長時間保持存在。

據觀察,該組織大約每三個月返回一次受感染的網絡,以驗證他們是否仍有訪問權限,如果訪問權限丟失則刷新訪問權限,並找到更多對攻擊感興趣的數據。

APT27 再次證明舊的就是新的

去年,有人看到該組織部署了遠程訪問木馬 (RAT) ZxShell 的更新版本。 ZxShell 於 2006 年首次開發,次年於 2007 年發布程序源代碼。該惡意軟件內置 HTran 數據包重定向,並使用屬於杭州順網科技有限公司的數字證書以及上海欣特軟件有限公司數字證書

APT27 也可能是 2018 年部署的 Gh0st RAT 的修改版本的背後。原始 Gh0st RAT 的源代碼也可以在線獲得。更新版本被用於攻擊網絡中的多個系統。研究人員發現的樣本通過自定義二進制協議在 TCP 端口 443 上進行通信,並修改了標頭以更好地隱藏網絡流量通信。

不滿足於使用在線工具,APT27 還開發並使用了自己的專有遠程訪問工具系列。這些工具,例如 HyperBro 和 SysUpdate,自 2016 年以來一直在流行。

SysUpdate 是一種多階段惡意軟件,僅供 Emissary Panda 使用。該惡意軟件通過多種方法傳播,例如使用動態數據交換 (DDE) 的惡意 Word 文檔、通過被盜憑據和 Web 重定向進行手動部署,以及戰略性 Web 攻擊 (SWC)。

APT27 惡意軟件部署和傳播

無論部署如何,第一個有效負載都是通過自解壓 (SFX) WinRAR 文件安裝的,該文件為 SysUpdate 安裝第一階段有效負載。第一階段在安裝第二階段有效負載(稱為 SysUpdate Main)之前在機器上實現持久性。該惡意軟件通過 HTTP 進行通信並下載代碼以注入 svchost.exe。

SysUpdate Main 為攻擊者提供了一系列遠程訪問功能。 RAT 允許黑客訪問和管理機器上的文件和進程、與不同的服務交互、啟動命令外殼、截屏以及根據需要上傳和下載其他惡意軟件。

SysUpdate 是一種非常靈活的惡意軟件,可以根據需要通過其他有效負載文件進行擴展或縮減。據安全研究人員稱,有效控制病毒存在的能力使黑客能夠隱藏其全部能力。

威脅參與者可以在復雜的入侵過程中利用他們的專有工具。這些工具使他們能夠在降低檢測風險的情況下進行更多控制。威脅參與者似乎可以使用廣泛可用的工具訪問網絡。一旦他們進入系統,他們就可以繞過安全控制,獲得一組更重要的特權和權限,並長期保持對高價值系統的訪問。 APT27 在目標網絡上花費的時間越長,它可能造成的潛在損害就越大。在最壞的情況下,該組織可能會在系統中存在多年,收集大量敏感信息並造成各種損害。

由 APT27 開發的更流行的定制黑客工具之一是SysUpdate威脅。這是 APT27 似乎通過虛假垃圾郵件和供應鏈攻擊傳播的 RAT(遠程訪問木馬)。惡意軟件專家認為,網絡騙子也可能在目標主機上手動安裝 SysUpdate RAT,前提是他們之前已經滲透到目標主機上。這種特定的 RAT 具有模塊化結構。這意味著 APT27 可以在受感染的計算機上植入威脅的基本副本,然後為其添加更多功能,進一步將 RAT 武器化。

APT27 似乎是一個非常靈活的黑客組織——無論是就他們使用的傳播方法和他們部署的各種工具而言。這使得 APT27 成為一個相當具有威脅性的網絡騙子群體,他們不應被低估。