APT27

APT27 Descripción

APT27 (Advanced Persistent Threat) es el nombre de un grupo de piratería que se origina en China y tiende a perseguir objetivos de alto perfil. El APT27 también se conoce con varios otros alias, incluidos Emissary Panda, LuckyMouse y BronzeUnion. Entre las campañas más conocidas llevadas a cabo por la APT27 se encuentran sus ataques contra los contratistas de defensa de los Estados Unidos. Otras operaciones populares de APT27 incluyen una campaña contra varias empresas que operan en el sector financiero, así como un ataque lanzado contra un centro de datos ubicado en Asia Central. Las herramientas de piratería en el armamento de APT27 incluyen amenazas que les permitirían realizar operaciones de reconocimiento, recopilar archivos confidenciales del host infectado o tomar el control del sistema comprometido.

Los investigadores de ciberseguridad detectaron por primera vez la actividad del APT27 en 2010 y lo han estado observando de cerca desde entonces. Desde que se detectaron por primera vez, el APT27 ha logrado comprometer objetivos que operan en una variedad de industrias clave:

  • Gobierno.
  • Defensa.
  • Tecnología.
  • Energía.
  • Fabricación.
  • Aeroespacial.

Entre las herramientas más utilizadas en el arsenal de piratería de APT27 se encuentran Gh0st RAT , ZXShell e HyperBro . Sin embargo, los delincuentes cibernéticos de APT27 no confían solo en herramientas de piratería personalizadas. El APT27, como muchos otros APT, también utiliza servicios legítimos para sus operaciones nefastas, así como herramientas de piratería disponibles públicamente.

APT27 ha atacado una variedad de objetivos por una variedad de razones, desde robar datos sobre tecnologías de punta hasta espiar a grupos civiles y disidentes para el gobierno.

Emissary Panda utiliza herramientas fácilmente disponibles, como credenciales, herramientas y servicios nativos del objetivo, y malware personalizado desarrollado para ataques. El grupo se centra en mantener una presencia en los sistemas comprometidos durante un período de tiempo prolongado.

Se observó que el grupo regresaba a las redes comprometidas aproximadamente cada tres meses para verificar que todavía tenían acceso, actualizar el acceso si se había perdido y encontrar más datos de interés para el ataque.

APT27 demuestra que lo viejo es nuevo otra vez

El año pasado, se vio al grupo implementando versiones actualizadas del troyano de acceso remoto (RAT) ZxShell. ZxShell se desarrolló por primera vez en 2006 y el código fuente del programa se lanzó al año siguiente, en 2007. El malware tiene incorporado el redireccionamiento de paquetes HTran y se firmó con un certificado digital que pertenece a Hangzhou Shunwang Technology Co., así como también con un certificado digital para Shanghai Hintsoft Co., Ltd.

Es probable que APT27 también esté detrás de una versión modificada de Gh0st RAT implementada en 2018. El código fuente del Gh0st RAT original también está disponible en línea. La versión actualizada se usó contra varios sistemas en una red comprometida. La muestra detectada por los investigadores se comunica en el puerto TCP 443 a través de un protocolo binario personalizado, con encabezados modificados para ocultar mejor las comunicaciones de tráfico de red.

No contento con el uso de herramientas que se encuentran en línea, APT27 también ha desarrollado y empleado su propia gama de herramientas de acceso remoto patentadas. Estas herramientas, como HyperBro y SysUpdate, han estado circulando desde 2016.

SysUpdate es un tipo de malware de varias etapas y solo lo utiliza Emissary Panda. El malware se entrega a través de varios métodos, como documentos de Word maliciosos que usan Dynamic Data Exchange (DDE), implementación manual a través de credenciales robadas y redireccionamientos web, y compromiso web estratégico (SWC).

Despliegue y propagación de malware APT27

Independientemente de la implementación, la primera carga útil se instala a través de un archivo WinRAR autoextraíble (SFX) que instala la carga útil de la primera etapa para SysUpdate. La primera etapa logra la persistencia en la máquina antes de instalar la carga útil de la segunda etapa, conocida como SysUpdate Main. El malware se comunica a través de HTTP y descarga el código para inyectarlo en svchost.exe.

SysUpdate Main ofrece a los atacantes una variedad de capacidades de acceso remoto. La RAT permite a los piratas informáticos acceder y administrar archivos y procesos en la máquina, interactuar con diferentes servicios, iniciar un shell de comando, tomar capturas de pantalla y cargar y descargar otro malware según sea necesario.

SysUpdate es un malware notablemente flexible que puede expandirse o reducirse según sea necesario a través de otros archivos de carga útil. La capacidad de controlar eficazmente la presencia del virus permite a los piratas informáticos ocultar todas sus capacidades, según los investigadores de seguridad.

Los actores de amenazas pueden aprovechar sus herramientas propietarias durante una intrusión sofisticada. Estas herramientas les dan más control con un menor riesgo de detección. Los actores de amenazas parecen obtener acceso a las redes utilizando herramientas ampliamente disponibles. Una vez que están en el sistema, pueden eludir los controles de seguridad, obtener acceso a un conjunto más importante de privilegios y permisos y mantener el acceso a sistemas de alto valor a largo plazo. Cuanto más tiempo pasa APT27 en una red de destino, más daño potencial puede causar. En el peor de los casos, el grupo podría tener presencia en un sistema durante años, recopilando mucha información confidencial y causando todo tipo de daños.

Una de las herramientas de piratería personalizadas más populares que fue desarrollada por APT27 es la amenaza SysUpdate. Este es un RAT (troyano de acceso remoto) que APT27 parece propagar a través de correos electrónicos no deseados falsos y ataques a la cadena de suministro. Los expertos en malware creen que los delincuentes cibernéticos también pueden instalar SysUpdate RAT en los hosts objetivo de forma manual, siempre que se hayan infiltrado en ellos previamente. Esta RAT específica tiene una estructura modular. Esto significa que el APT27 puede plantar una copia básica de la amenaza en la computadora comprometida y luego agregarle más funciones, armando aún más la RAT.

El APT27 parece ser un grupo de piratas informáticos muy flexible, tanto en lo que respecta a los métodos de propagación que utilizan como a la amplia variedad de herramientas que implementan. Esto convierte a APT27 en un grupo de delincuentes cibernéticos bastante amenazante, que no debe subestimarse.