APT27

APT27 (Advanced Persistent Threat) ist der Name einer Hacking-Gruppe, die aus China stammt und dazu neigt, hochkarätige Ziele zu verfolgen. APT27 ist auch unter verschiedenen anderen Aliasnamen bekannt, darunter Emissary Panda, LuckyMouse und BronzeUnion. Zu den bekanntesten Kampagnen der APT27 gehören ihre Angriffe auf Rüstungsunternehmen der Vereinigten Staaten. Weitere beliebte Operationen der APT27 sind eine Kampagne gegen eine Reihe von Unternehmen, die im Finanzsektor tätig sind, sowie ein Angriff auf ein Rechenzentrum in Zentralasien. Die Hacking-Tools in den Waffen des APT27 umfassen Bedrohungen, die es ihnen ermöglichen würden, Aufklärungsoperationen durchzuführen, sensible Dateien vom infizierten Host zu sammeln oder das kompromittierte System zu übernehmen.

Cybersicherheitsforscher entdeckten die Aktivitäten der APT27 erstmals im Jahr 2010 und haben sie seitdem genau im Auge behalten. Seit sie zum ersten Mal entdeckt wurden, ist es der APT27 gelungen, Ziele zu kompromittieren, die in einer Vielzahl von Schlüsselindustrien tätig sind:

  • Regierung.
  • Verteidigung.
  • Technologie.
  • Energie.
  • Herstellung.
  • Luft- und Raumfahrt.

Zu den am häufigsten verwendeten Tools im Hacking-Arsenal von APT27 gehören Gh0st RAT , ZXShell und HyperBro . Die Cyber-Gauner von APT27 verlassen sich jedoch nicht nur auf maßgeschneiderte Hacking-Tools. Die APT27 nutzt, wie viele andere APTs auch, legitime Dienste für ihre schändlichen Operationen sowie öffentlich zugängliche Hacking-Tools.

APT27 hat aus verschiedenen Gründen eine Reihe von Zielen angegriffen, vom Diebstahl von Daten über Spitzentechnologien bis hin zum Ausspionieren ziviler Gruppen und Dissidenten für die Regierung.

Emissary Panda verwendet leicht verfügbare Tools wie Anmeldeinformationen, Tools und Dienste, die für das Ziel nativ sind, sowie benutzerdefinierte Malware, die für Angriffe entwickelt wurde. Die Gruppe konzentriert sich darauf, über einen längeren Zeitraum auf den kompromittierten Systemen präsent zu sein.

Es wurde beobachtet, dass die Gruppe ungefähr alle drei Monate zu kompromittierten Netzwerken zurückkehrte, um zu überprüfen, ob sie noch Zugriff hatten, den Zugriff zu aktualisieren, falls er verloren gegangen war, und weitere Daten zu finden, die für den Angriff von Interesse waren.

APT27 zeigt, was alt ist, ist wieder neu

Im vergangenen Jahr wurde die Gruppe dabei beobachtet, wie sie aktualisierte Versionen des Remote-Access-Trojaners (RAT) ZxShell einsetzte. ZxShell wurde erstmals 2006 entwickelt, der Quellcode für das Programm wurde 2007 im folgenden Jahr veröffentlicht. Die Malware hat die HTran-Paketumleitung eingebaut und wurde mit einem digitalen Zertifikat von Hangzhou Shunwang Technology Co. signiert, sowie a digitales Zertifikat für Shanghai Hintsoft Co., Ltd.

APT27 steckte wahrscheinlich auch hinter einer modifizierten Version der Gh0st RAT, die 2018 bereitgestellt wurde. Der Quellcode für die ursprüngliche Gh0st RAT ist ebenfalls online verfügbar. Die aktualisierte Version wurde gegen mehrere Systeme in einem kompromittierten Netzwerk verwendet. Die von Forschern entdeckte Probe kommuniziert auf TCP-Port 443 über ein benutzerdefiniertes Binärprotokoll mit modifizierten Headern, um die Kommunikation des Netzwerkverkehrs besser zu verbergen.

APT27 begnügt sich nicht damit, online gefundene Tools zu verwenden, sondern hat auch eine eigene Reihe von proprietären Fernzugriffstools entwickelt und eingesetzt. Diese Tools wie HyperBro und SysUpdate machen seit 2016 die Runde.

SysUpdate ist eine Art mehrstufige Malware und wird nur von Emissary Panda verwendet. Die Malware wird über mehrere Methoden verbreitet, wie z. B. bösartige Word-Dokumente mit Dynamic Data Exchange (DDE), manuelle Bereitstellung durch gestohlene Anmeldeinformationen und Web-Weiterleitungen sowie strategische Web-Kompromittierung (SWC).

APT27-Malware-Bereitstellung und -Verbreitung

Unabhängig von der Bereitstellung wird die erste Nutzlast über eine selbstextrahierende (SFX) WinRAR-Datei installiert, die die Nutzlast der ersten Stufe für SysUpdate installiert. Die erste Stufe erreicht Persistenz auf dem Computer, bevor die Payload der zweiten Stufe installiert wird, die als SysUpdate Main bekannt ist. Die Malware kommuniziert über HTTP und lädt Code herunter, um ihn in svchost.exe einzufügen.

SysUpdate Main bietet Angreifern eine Reihe von Fernzugriffsmöglichkeiten. Die RAT ermöglicht es Hackern, auf Dateien und Prozesse auf dem Computer zuzugreifen und diese zu verwalten, mit verschiedenen Diensten zu interagieren, eine Befehlsshell zu starten, Screenshots zu machen und bei Bedarf andere Malware hoch- und herunterzuladen.

SysUpdate ist eine bemerkenswert flexible Malware, die je nach Bedarf durch andere Payload-Dateien erweitert oder verringert werden kann. Die Fähigkeit, das Vorhandensein des Virus effektiv zu kontrollieren, ermöglicht es den Hackern laut Sicherheitsforschern, ihre vollen Fähigkeiten zu verbergen.

Die Bedrohungsakteure können ihre proprietären Tools während eines ausgeklügelten Eindringens nutzen. Diese Tools geben ihnen mehr Kontrolle bei einem geringeren Entdeckungsrisiko. Die Bedrohungsakteure scheinen sich mit weit verbreiteten Tools Zugang zu Netzwerken zu verschaffen. Sobald sie sich auf dem System befinden, können sie Sicherheitskontrollen umgehen, Zugriff auf eine bedeutendere Reihe von Privilegien und Berechtigungen erhalten und den Zugriff auf hochwertige Systeme langfristig aufrechterhalten. Je länger APT27 in einem Zielnetzwerk verbringt, desto mehr potenziellen Schaden kann es anrichten. Im schlimmsten Fall könnte die Gruppe jahrelang auf einem System präsent sein, viele sensible Informationen sammeln und alle möglichen Schäden anrichten.

Eines der beliebtesten kundenspezifischen Hacking-Tools, das von APT27 entwickelt wurde, ist die SysUpdate- Bedrohung. Dies ist ein RAT (Remote Access Trojan), den der APT27 anscheinend über gefälschte Spam-E-Mails und Angriffe auf die Lieferkette verbreitet. Malware-Experten glauben, dass die Cyber-Gauner die SysUpdate RAT auch manuell auf Zielhosts installieren können, sofern sie diese zuvor infiltriert haben. Diese spezielle RAT ist modular aufgebaut. Das bedeutet, dass APT27 eine grundlegende Kopie der Bedrohung auf dem kompromittierten Computer platzieren und ihr dann weitere Funktionen hinzufügen kann, um die RAT weiter zu bewaffnen.

Die APT27 scheinen eine sehr flexible Hacking-Gruppe zu sein – sowohl in Bezug auf die Verbreitungsmethoden, die sie verwenden, als auch auf die große Vielfalt der Tools, die sie einsetzen. Das macht die APT27 zu einer ziemlich bedrohlichen Gruppe von Cyber-Gaunern, die man nicht unterschätzen sollte.

Im Trend

Am häufigsten gesehen

Wird geladen...