APT27
APT27(Advanced Persistent Threat)は、中国を起源とするハッキンググループの名前であり、注目を集めるターゲットを追いかける傾向があります。 APT27は、Emissary Panda、LuckyMouse、BronzeUnionなど、他のさまざまなエイリアスでも知られています。 APT27によって実行された最もよく知られているキャンペーンの中には、米国の防衛請負業者を標的とした攻撃があります。 APT27によるその他の人気のある作戦には、金融セクターで活動している多くの企業に対するキャンペーンや、中央アジアにあるデータセンターに対する攻撃が含まれます。 APT27の兵器に含まれるハッキングツールには、偵察操作の実行、感染したホストからの機密ファイルの収集、または侵害されたシステムの乗っ取りを可能にする脅威が含まれています。
サイバーセキュリティの研究者は、2010年にAPT27の活動を最初に発見し、それ以来、それを注意深く見守っています。それらが最初に発見されて以来、APT27はさまざまな主要産業で動作するターゲットを危険にさらすことに成功しました。
- 政府。
- 防衛。
- テクノロジー。
- エネルギー。
- 製造。
- 航空宇宙。
APT27のハッキング兵器庫で最も利用されているツールには、 Gh0st RAT 、 ZXShell、HyperBroがあります。ただし、APT27のサイバー詐欺師は、カスタムビルドのハッキングツールだけに依存しているわけではありません。 APT27は、他の多くのAPTと同様に、不正な操作に合法的なサービスを利用しているほか、公開されているハッキングツールも利用しています。
APT27は、最先端のテクノロジーに関するデータを盗むことから、民間グループや政府の反対者をスパイすることまで、さまざまな理由でさまざまな標的を攻撃してきました。
Emissary Pandaは、ターゲットにネイティブな資格情報、ツール、サービスなどのすぐに利用できるツールと、攻撃用に開発されたカスタムマルウェアを使用します。このグループは、侵害されたシステムでのプレゼンスを長期間維持することに重点を置いています。
このグループは、侵害されたネットワークに約3か月ごとに戻って、アクセスできることを確認し、アクセスが失われた場合はアクセスを更新し、攻撃に関係するデータをさらに見つけることが観察されました。
APT27は、古いものが再び新しいものであることを示します
昨年、このグループは、リモートアクセス型トロイの木馬(RAT)ZxShellの更新バージョンを展開しているのが見られました。 ZxShellは2006年に最初に開発され、プログラムのソースコードは翌年の2007年にリリースされました。マルウェアにはHTranパケットリダイレクトが組み込まれており、杭州順網テクノロジー社に属するデジタル証明書と署名されています。 Shanghai Hintsoft Co.、Ltdのデジタル証明書。
APT27は、2018年に導入されたGh0stRATの修正バージョンの背後にもある可能性があります。元のGh0stRATのソースコードもオンラインで入手できます。更新されたバージョンは、侵害されたネットワーク内のいくつかのシステムに対して使用されました。研究者によって発見されたサンプルは、ネットワークトラフィック通信をより適切に隠すために変更されたヘッダーを使用して、カスタムバイナリプロトコルを介してTCPポート443で通信します。
APT27は、オンラインで見つけたツールの使用に満足するのではなく、独自のリモートアクセスツールを開発して採用しています。 HyperBroやSysUpdateなどのこれらのツールは、2016年からラウンドを行っています。
SysUpdateは一種の多段階マルウェアであり、EmissaryPandaによってのみ使用されます。マルウェアは、Dynamic Data Exchange(DDE)を使用した悪意のあるWord文書、盗まれた資格情報による手動展開、Webリダイレクト、戦略的Web侵害(SWC)など、いくつかの方法で配信されます。
APT27マルウェアの展開と拡散
展開に関係なく、最初のペイロードは、SysUpdateの最初のステージのペイロードをインストールする自己解凍型(SFX)WinRARファイルを介してインストールされます。第1段階では、SysUpdate Mainと呼ばれる第2段階のペイロードをインストールする前に、マシン上で永続性を実現します。マルウェアはHTTPを介して通信し、コードをダウンロードしてsvchost.exeに挿入します。
SysUpdate Mainは、攻撃者にさまざまなリモートアクセス機能を提供します。 RATを使用すると、ハッカーはマシン上のファイルとプロセスにアクセスして管理し、さまざまなサービスと対話し、コマンドシェルを起動し、スクリーンショットを撮り、必要に応じて他のマルウェアをアップロードおよびダウンロードできます。
SysUpdateは非常に柔軟なマルウェアであり、他のペイロードファイルを介して必要に応じて拡張または縮小できます。セキュリティ研究者によると、ウイルスの存在を効果的に制御する機能により、ハッカーはすべての機能を隠すことができます。
攻撃者は、高度な侵入時に独自のツールを活用できます。これらのツールを使用すると、検出のリスクを減らして、より詳細に制御できます。攻撃者は、広く利用可能なツールを使用してネットワークにアクセスできるようです。システムに接続すると、セキュリティ制御を回避し、より重要な一連の特権とアクセス許可にアクセスし、長期的に価値の高いシステムへのアクセスを維持できます。 APT27がターゲットネットワークに費やす時間が長いほど、APT27が与える可能性のある損害が大きくなります。最悪のシナリオでは、グループは何年にもわたってシステム上に存在し、機密情報を大量に収集し、あらゆる種類の損害を引き起こす可能性があります。
APT27によって開発された最も人気のあるカスタム作成のハッキングツールの1つは、 SysUpdateの脅威です。これは、APT27が偽のスパムメールやサプライチェーン攻撃を介して拡散しているように見えるRAT(リモートアクセストロイの木馬)です。マルウェアの専門家は、サイバー詐欺師が以前に侵入したことがあれば、SysUpdateRATをターゲットホストに手動でインストールする可能性もあると考えています。この特定のRATはモジュラー構造になっています。これは、APT27が侵入先のコンピューターに脅威の基本的なコピーを仕掛け、さらに機能を追加してRATをさらに強化できることを意味します。
APT27は、利用する伝播方法と展開するさまざまなツールの両方に関して、非常に柔軟なハッキンググループのようです。これにより、APT27は、過小評価されるべきではない、かなり脅威的なサイバー詐欺師のグループになります。
