همه چیز درباره گروه APT27
گروه نفوذگران APT27 که با نامهای LuckyMouse،وEmissary Panda،وBRONZE UNION،وThreat Group 3390 و Iron Tiger نیز شناخته میشود حداقل از سال 2010 میلادی فعال بوده و صدها سازمان را در کشورهای مختلف هدف قرار میداده است. بسیاری از منابع، گردانندگان APT27 را نفوذگرانی با ملیت یا اصالت چینی میدانند.
به گزارش شرکت مهندسی شبکه گستر حملات اجرا شده توسط این گروه اهداف مختلف و متفاوتی را از سرقت اطلاعات در خصوص فناوریهای تسلحیاتی گرفته تا جاسوسی از فعالان حقوق بشر دنبال میکنند.
بتازگی نیز مرکز مدیریت راهبردی افتا از مشاهده مواردی از آلودگی به بدافزاری منسوب به گروه APT27 در برخی از دستگاههای کشور خبر داده است. این مرکز با مشارکت یک شرکت دانشبنیان اقدام به عرضه ابزارهایی بهمنظور شناسای و پاکسازی بدافزار مذکور نموده که جزییات آنها در اینجا قابل دسترس است.
به گزارش شرکت مهندسی شبکه گستر منطقه خاورمیانه یکی از اصلیترین اهداف در بسیاری از حملات این گروه بوده است. برای مثال، در آوریل سال 2019 شرکت پالوآلتو نتورکز از آلودگی سازمانهای دولتی در دو کشور در این منطقه خبر داد که در جریان آن حملات، مهاجمان با بهرهجویی از آسیبپذیری CVE-2019-0604 در نرمافزار Microsoft SharePoint اقدام به رخنه به سرورهای حاوی این نرمافزار و نصب یک وبشل مخرب بر روی آنها میکردند.
حدود یک سال قبل محققان Secureworks اعلام کردند که این گروه معمولاً هر سه ماه یکبار مجدداً به شبکه قربانیان خود بازگشته و ضمن بررسی برقرار بودن دسترسی به وبشلهای مخرب و اطلاعات اصالتسنجی (Credential) پیشین، دادههای مورد نظر خود را مورد رصد قرار میدهد.
از جمله تکنیکهای بکار گرفته شده توسط گروه APT27 میتوان به موارد زیر اشاره کرد:
- این گروه از فرمان net user بهمنظور شناسایی نامهای کاربری ایجاد شده بر روی دستگاه بهره میگیرد.
- در برخی حملات اجرا شده توسط APT27 از ابزاری بهمنظور عبور از سد User Account Control و ترفیع سطح دسترسی بهره گرفته شده است.
- در جریان برخی از حملات این گروه از درگاههای 53،و80 و 443 استفاده شده است.
- APT27 با استفاده از gsecdump و نسخهای ویرایش شده از ابزار Mimikatz (معروف به Wrapikatz) اقدام به جمعآوری اطلاعات اصالتسنجی میکند. همچنین این گروه سرورهای موسوم به Domain Controller را نیز به طور خاص به همین منظور هدف قرار میدهد.
- این گروه از ابزار RAR برای فشردهسازی، رمزگذاری و قرار دادن رمز عبور بر روی فایل فشرده شده پیش از ارسال آنها به سرور فرماندهی استفاده میکند.
- APT27 بهصورت مرحله به مرحله و در فایلهایی با اندازهای مشخص اطلاعات را به سرورهایی در معرض دسترس در اینترنت که پیشتر به بدافزار China Chopper آلوده شدهاند ارسال میکند.
- این گروه از فایل appcmd.exe برای غیرفعال کردن ثبت رویدادها بر روی سرور قربانی استفاده می کند.
- از تکنیکهای مورد استفاده این گروه، DLL Search Order Hijacking است که در جریان آن از یکی از روشهای بکار گرفته شده توسط سیستم عامل Windows در جستجوی فایلهای DLL مورد نیاز برای اجرا شدن در یک برنامه سوءاستفاده میشود. بهرهجویی از این طریق منجر به اجرای اموری همچون ترفیع سطح دسترسی کاربر غیرمجاز و یا ماندگاری برنامهای مخرب بر روی سیستم میشود.
- APT27 از معروفترین گروههایی است که بهطور استراتژیک اقدام به هک کردن سایتهای مورد استفاده اهداف خود و آلودهسازی دستگاه آنها از طریق این سایتها میکند.
- این گروه سوءاستفاده از ضعف امنیتی CVE-2014-6324 در Windows و آسیبپذیری CVE-2019-0604 در نرمافزار Microsoft SharePoint را در کارنامه دارد.
- در برخی حملات، این مهاجمان یک ثبتکننده اطلاعات اصالتسنجی را بر روی سرورهای Microsoft Exchange نصب کردهاند. همچنین این گروه از ابزار ScanBox در فرایند شناسایی کلیدهای فشرده شده توسط قربانی بهره میگیرد.
- ابزار مورد استفاده این گروه قادر به ایجاد کلید جدید در مسیر HKEY_CURRENT_USER\Software\Classes\ در محضرخانه (Registry) است.
- گروه APT27 از ابزار Hunter جهت شناسایی سرویسهای در معرض دسترس در سطح شبکه و سیستمهای آسیبپذیر بهره میگیرد.
- این گروه پس از سرقت اطلاعات، احتمالاً بهمنظور از بین بردن رد پا اقدام به قطع ارتباطات خود با پوشههای اشتراکی میکند.
- یکی از ابزارهای APT27 قادر به ایجاد سرویسی جدید بر روی دستگاه قربانی با هدف ماندگار کردن بدافزار خود است.
- این مهاجمان از پروسه معتبر PowerShell جهت اجرای برخی از اسکریپتها و کدهای مخرب خود استفاده میکنند.
- یکی از ابزارهای این گروه پروسه معتبر svchost.exe را تسخیر کرده و کد مخرب را در آن تزریق میکند.
- در برخی حملات فایل و مسیر اجرای بدافزار در مسیر Software\Microsoft\Windows\CurrentVersion\Run\ ثبت و به این ترتیب بدافزار بر روی سیستم ماندگار میشود.
- گروه APT27 از فرمان net view برای شناسایی سیستمهای شبکه قربانی استفاده میکند.
- این مهاجمان از at در فرامین زمانبندی شده (Scheduled Task) برای اجرای فایلهای فشرده RAR با خاصیت خوداجرایی و در ادامه نصب بدافزارهای HTTPBrowser یا PlugX بر روی دستگاه سایر قربانیان در شبکه استفاده میکنند.
- بدافزارهای این گروه معمولاً از پودمان HTTP برای برقراری ارتباط با سرور فرماندهی خود استفاده میکنند.
- گروه APT27 از ابزار nbtscan برای شناسایی سیستمهای آسیبپذیر استفاده میکند.
- این مهاجمان از net use برای شناسایی سایر دستگاهها استفاده میکند. همچنین گروه APT27 از quser.exe جهت شناسایی نشستهای RDP برقرار شده بر روی یک سیستم بهره میگیرد.
- این گروه با بدست آوردن اطلاعات اصالتسنجی معتبر با استفاده از روش های مختلف در ادامه از آنها برای گسترش آلودگی استفاده میکند.
- در حملات گروه APT27 از وبشلهای متعددی استفاده شده است.
- حداقل یکی از ابزارهای مورد استفاده این گروه قادر به اجرای فایل دودویی از طریق Windows Management Instrumentation است.
- این مهاجمان از Windows Remote Management برای فعال کردن امکان اجرای کد بهصورت از راه دور استفاده میکنند.
توضیح اینکه نمونههای بررسی شده از بدافزارهای مورد استفاده گروه APT27 با نامهای زیر توسط ضدویروس McAfee قابل شناسایی است:
- Artemis!1B2D75F9C771
- Artemis!12A522CB9670
- Artemis!1CB4B74E9D03
- Artemis!1DD30422A1CB
- Artemis!2BEC1860499A
- Artemis!37FC73C754EF
- Artemis!3EEB4A7C6925
- Artemis!4251AAF38A48
- Artemis!57E85FC30502
- Artemis!70CFF7C176C7
- Artemis!728E5700A401
- Artemis!81ED75259075
- Artemis!850DF4A726A7
- Artemis!86A05DCFFE87
- Artemis!93E40DA0BD78
- Artemis!9DD9D006D40D
- Artemis!A13772805B77
- Artemis!A9C2FF438C73
- Artemis!B333B5D541A0
- Artemis!B7F958F93E2F
- Artemis!BD9E4C82BF12
- Artemis!C69D60B82252
- Artemis!C8D83840B96F
- Artemis!F43D9C3E17E8
- ASP/Shell.h
- BackDoor-Chopper
- BackDoor-FCVY!014122D7851F
- BackDoor-FCVY!02826BB66363
- BackDoor-FCVY!0AE996B31A2C
- BackDoor-FCVY!1539B3A59212
- BackDoor-FCVY!15FD9C04D609
- BackDoor-FCVY!1606AB7A5473
- BackDoor-FCVY!1A76681986F9
- BackDoor-FCVY!20C446AD2D7D
- BackDoor-FCVY!225E10E362EE
- BackDoor-FCVY!372F5370085A
- BackDoor-FCVY!380C02B1FD93
- BackDoor-FCVY!40A9A22DA928
- BackDoor-FCVY!44CF0793E05B
- BackDoor-FCVY!46CF2F9B4A4C
- BackDoor-FCVY!5C3AB475BE11
- BackDoor-FCVY!5CD0E97A1F09
- BackDoor-FCVY!5EF719F8AEB9
- BackDoor-FCVY!692CECC94AC4
- BackDoor-FCVY!6A39A4E99334
- BackDoor-FCVY!6AAC7417EA1E
- BackDoor-FCVY!7EC917683763
- BackDoor-FCVY!8B4ED3B392EE
- BackDoor-FCVY!8EA5D8BB6B28
- BackDoor-FCVY!9271BCFBBA05
- BackDoor-FCVY!996843B55A7C
- BackDoor-FCVY!A554EFC88971
- BackDoor-FCVY!A631FC7C45CB
- BackDoor-FCVY!AF785B4DF71D
- BackDoor-FCVY!C66E09429AD6
- BackDoor-FCVY!C9C93C2D62A0
- BackDoor-FCVY!DDBDF0EFDF26
- BackDoor-FCVY!E3E0F3AD4FF3
- BackDoor-FCVY!E7DF18A17D8E
- BackDoor-FCVY!E7E555615A07
- BackDoor-FCVY!EA4DCAFC224F
- BackDoor-FCVY!EA8B9E0BF95F
- BackDoor-FCVY!F658BB17D699
- BackDoor-FCVY!F869A1B40F64
- BackDoor-FCVY!FAC4885324CB
- BackDoor-FDRS!40CDD3CFE86C
- DoS-FAK!19230C66AA4A
- Generic Trojan.em
- Generic Trojan.go
- Generic Trojan.gs
- Generic Trojan.gy
- Generic Trojan.hm
- Generic Trojan.i
- Generic.dx!BBFD1E703F55
- Generic.eof
- GenericR-QAF!F0044BCB4B1D
- GenericRXGO-YK!C419CDD0DECE
- GenericRXHS-MH!9F8B60567642
- GenericRXHT-WL!2BCB003D74F9
- HTML/Chopper.a
- HTool-JSPRat
- Nbtscan
- Packed-LF!313909878C72
- Packed-LF!6F5E0882316C
- PUP-XAV-HC
- RDN/Generic BackDoor
- RDN/Generic BackDoor.ml
- RDN/Generic PUP.abb
- RDN/Generic PUP.bmb
- RDN/Generic PUP.pk
- RDN/Generic PUP.z
- RDN/Generic PWS.mp
- RDN/Generic.cix
- RDN/Generic.com
- RDN/Generic.dxw
- RDN/Generic.erp
- RDN/Generic.grp
- RDN/Generic.hra
- Trojan-FMWJ!CD5AAA37EE16
- Trojan-FPYL!62BCBFAE5276
- W97M/MacroLess.h