همه چیز درباره گروه APT27

گروه نفوذگران APT27 که با نام‌های LuckyMouse،وEmissary Panda،وBRONZE UNION،وThreat Group 3390 و Iron Tiger نیز شناخته می‌شود حداقل از سال 2010 میلادی فعال بوده و صدها سازمان را در کشورهای مختلف هدف قرار می‌داده است. بسیاری از منابع، گردانندگان APT27 را نفوذگرانی با ملیت یا اصالت چینی می‌دانند.

به گزارش شرکت مهندسی شبکه گستر حملات اجرا شده توسط این گروه اهداف مختلف و متفاوتی را از سرقت اطلاعات در خصوص فناوری‌های تسلحیاتی گرفته تا جاسوسی از فعالان حقوق بشر دنبال می‌کنند.

بتازگی نیز مرکز مدیریت راهبردی افتا از مشاهده مواردی از آلودگی به بدافزاری منسوب به گروه APT27 در برخی از دستگاه‌های کشور خبر داده است. این مرکز با مشارکت یک شرکت دانش‌بنیان اقدام به عرضه ابزارهایی به‌منظور شناسای و پاکسازی بدافزار مذکور نموده که جزییات آنها در اینجا قابل دسترس است.

به گزارش شرکت مهندسی شبکه گستر منطقه خاورمیانه یکی از اصلی‌ترین اهداف در بسیاری از حملات این گروه بوده است. برای مثال، در آوریل سال 2019 شرکت پالوآلتو نت‌ورکز از آلودگی سازمان‌های دولتی در دو کشور در این منطقه خبر داد که در جریان آن حملات، مهاجمان با بهره‌جویی از آسیب‌پذیری CVE-2019-0604 در نرم‌افزار Microsoft SharePoint اقدام به رخنه به سرورهای حاوی این نرم‌افزار و نصب یک وب‌شل مخرب بر روی آنها می‌کردند.

حدود یک سال قبل محققان Secureworks اعلام کردند که این گروه معمولاً هر سه ماه یکبار مجدداً به شبکه قربانیان خود بازگشته و ضمن بررسی برقرار بودن دسترسی به وب‌شل‌های مخرب و اطلاعات اصالت‌سنجی (Credential) پیشین، داده‌های مورد نظر خود را مورد رصد قرار می‌دهد.

از جمله تکنیک‌های بکار گرفته شده توسط گروه APT27 می‌توان به موارد زیر اشاره کرد:

• این گروه از فرمان net user به‌منظور شناسایی نام‌های کاربری ایجاد شده بر روی دستگاه بهره می‌گیرد.
• در برخی حملات اجرا شده توسط APT27 از ابزاری به‌منظور عبور از سد User Account Control و ترفیع سطح دسترسی بهره گرفته شده است.
• در جریان برخی از حملات این گروه از درگاه‌های 53،و80 و 443 استفاده شده است.
• APT27 با استفاده از gsecdump و نسخه‌ای ویرایش شده از ابزار Mimikatz (معروف به Wrapikatz) اقدام به جمع‌آوری اطلاعات اصالت‌سنجی می‌کند. همچنین این گروه سرورهای موسوم به Domain Controller را نیز به طور خاص به همین منظور هدف قرار می‌دهد.
• این گروه از ابزار RAR برای فشرده‌سازی، رمزگذاری و قرار دادن رمز عبور بر روی فایل فشرده شده پیش از ارسال آنها به سرور فرماندهی استفاده می‌کند.
• APT27 به‌صورت مرحله به مرحله و در فایل‌هایی با اندازه‌ای مشخص اطلاعات را به سرورهایی در معرض دسترس در اینترنت که پیش‌تر به بدافزار China Chopper آلوده شده‌اند ارسال می‌کند.
• این گروه از فایل appcmd.exe برای غیرفعال کردن ثبت رویدادها بر روی سرور قربانی استفاده می کند.
• از تکنیک‌های مورد استفاده این گروه، DLL Search Order Hijacking است که در جریان آن از یکی از روش‌های بکار گرفته شده توسط سیستم عامل Windows در جستجوی فایل‌های DLL مورد نیاز برای اجرا شدن در یک برنامه سوءاستفاده می‌شود. بهره‌جویی از این طریق منجر به اجرای اموری همچون ترفیع سطح دسترسی کاربر غیرمجاز و یا ماندگاری برنامه‌ای مخرب بر روی سیستم می‌شود.
• APT27 از معروف‌ترین گروه‌هایی است که به‌طور استراتژیک اقدام به هک کردن سایت‌های مورد استفاده اهداف خود و آلوده‌سازی دستگاه آنها از طریق این سایت‌ها می‌کند.
• این گروه سوءاستفاده از ضعف امنیتی CVE-2014-6324 در Windows و آسیب‌پذیری CVE-2019-0604 در نرم‌افزار Microsoft SharePoint را در کارنامه دارد.
• در برخی حملات، این مهاجمان یک ثبت‌کننده اطلاعات اصالت‌سنجی را بر روی سرورهای Microsoft Exchange نصب کرده‌اند. همچنین این گروه از ابزار ScanBox در فرایند شناسایی کلیدهای فشرده شده توسط قربانی بهره می‌گیرد.
• ابزار مورد استفاده این گروه قادر به ایجاد کلید جدید در مسیر HKEY_CURRENT_USER\Software\Classes\ در محضرخانه (Registry) است.
• گروه APT27 از ابزار Hunter جهت شناسایی سرویس‌های در معرض دسترس در سطح شبکه و سیستم‌های آسیب‌پذیر بهره می‌گیرد.
• این گروه پس از سرقت اطلاعات، احتمالاً به‌منظور از بین بردن رد پا اقدام به قطع ارتباطات خود با پوشه‌های اشتراکی می‌کند.
• یکی از ابزارهای APT27 قادر به ایجاد سرویسی جدید بر روی دستگاه قربانی با هدف ماندگار کردن بدافزار خود است.
• این مهاجمان از پروسه معتبر PowerShell جهت اجرای برخی از اسکریپت‌ها و کدهای مخرب خود استفاده می‌کنند.
• یکی از ابزارهای این گروه پروسه معتبر svchost.exe را تسخیر کرده و کد مخرب را در آن تزریق می‌کند.
• در برخی حملات فایل و مسیر اجرای بدافزار در مسیر Software\Microsoft\Windows\CurrentVersion\Run\ ثبت و به این ترتیب بدافزار بر روی سیستم ماندگار می‌شود.
• گروه APT27 از فرمان net view برای شناسایی سیستم‌های شبکه قربانی استفاده می‌کند.
• این مهاجمان از at در فرامین زمانبندی شده (Scheduled Task) برای اجرای فایل‌های فشرده RAR با خاصیت خوداجرایی و در ادامه نصب بدافزارهای HTTPBrowser یا PlugX بر روی دستگاه سایر قربانیان در شبکه استفاده می‌کنند.
• بدافزارهای این گروه معمولاً از پودمان HTTP برای برقراری ارتباط با سرور فرماندهی خود استفاده می‌کنند.
• گروه APT27 از ابزار nbtscan برای شناسایی سیستم‌های آسیب‌پذیر استفاده می‌کند.
• این مهاجمان از net use برای شناسایی سایر دستگاه‌ها استفاده می‌کند. همچنین گروه APT27 از quser.exe جهت شناسایی نشست‌های RDP برقرار شده بر روی یک سیستم بهره می‌گیرد.
• این گروه با بدست آوردن اطلاعات اصالت‌سنجی معتبر با استفاده از روش های مختلف در ادامه از آنها برای گسترش آلودگی استفاده می‌کند.
• در حملات گروه APT27 از وب‌شل‌های متعددی استفاده شده است.
• حداقل یکی از ابزارهای مورد استفاده این گروه قادر به اجرای فایل دودویی از طریق Windows Management Instrumentation است.
• این مهاجمان از Windows Remote Management برای فعال کردن امکان اجرای کد به‌صورت از راه دور استفاده می‌کنند.

توضیح اینکه نمونه‌های بررسی شده از بدافزارهای مورد استفاده گروه APT27 با نام‌های زیر توسط ضدویروس McAfee قابل شناسایی است:

• Artemis!1B2D75F9C771
• Artemis!12A522CB9670
• Artemis!1CB4B74E9D03
• Artemis!1DD30422A1CB
• Artemis!2BEC1860499A
• Artemis!37FC73C754EF
• Artemis!3EEB4A7C6925
• Artemis!4251AAF38A48
• Artemis!57E85FC30502
• Artemis!70CFF7C176C7
• Artemis!728E5700A401
• Artemis!81ED75259075
• Artemis!850DF4A726A7
• Artemis!86A05DCFFE87
• Artemis!93E40DA0BD78
• Artemis!9DD9D006D40D
• Artemis!A13772805B77
• Artemis!A9C2FF438C73
• Artemis!B333B5D541A0
• Artemis!B7F958F93E2F
• Artemis!BD9E4C82BF12
• Artemis!C69D60B82252
• Artemis!C8D83840B96F
• Artemis!F43D9C3E17E8
• ASP/Shell.h
• BackDoor-Chopper
• BackDoor-FCVY!014122D7851F
• BackDoor-FCVY!02826BB66363
• BackDoor-FCVY!0AE996B31A2C
• BackDoor-FCVY!1539B3A59212
• BackDoor-FCVY!15FD9C04D609
• BackDoor-FCVY!1606AB7A5473
• BackDoor-FCVY!1A76681986F9
• BackDoor-FCVY!20C446AD2D7D
• BackDoor-FCVY!225E10E362EE
• BackDoor-FCVY!372F5370085A
• BackDoor-FCVY!380C02B1FD93
• BackDoor-FCVY!40A9A22DA928
• BackDoor-FCVY!44CF0793E05B
• BackDoor-FCVY!46CF2F9B4A4C
• BackDoor-FCVY!5C3AB475BE11
• BackDoor-FCVY!5CD0E97A1F09
• BackDoor-FCVY!5EF719F8AEB9
• BackDoor-FCVY!692CECC94AC4
• BackDoor-FCVY!6A39A4E99334
• BackDoor-FCVY!6AAC7417EA1E
• BackDoor-FCVY!7EC917683763
• BackDoor-FCVY!8B4ED3B392EE
• BackDoor-FCVY!8EA5D8BB6B28
• BackDoor-FCVY!9271BCFBBA05
• BackDoor-FCVY!996843B55A7C
• BackDoor-FCVY!A554EFC88971
• BackDoor-FCVY!A631FC7C45CB
• BackDoor-FCVY!AF785B4DF71D
• BackDoor-FCVY!C66E09429AD6
• BackDoor-FCVY!C9C93C2D62A0
• BackDoor-FCVY!DDBDF0EFDF26
• BackDoor-FCVY!E3E0F3AD4FF3
• BackDoor-FCVY!E7DF18A17D8E
• BackDoor-FCVY!E7E555615A07
• BackDoor-FCVY!EA4DCAFC224F
• BackDoor-FCVY!EA8B9E0BF95F
• BackDoor-FCVY!F658BB17D699
• BackDoor-FCVY!F869A1B40F64
• BackDoor-FCVY!FAC4885324CB
• BackDoor-FDRS!40CDD3CFE86C
• DoS-FAK!19230C66AA4A
• Generic Trojan.em
• Generic Trojan.go
• Generic Trojan.gs
• Generic Trojan.gy
• Generic Trojan.hm
• Generic Trojan.i
• Generic.dx!BBFD1E703F55
• Generic.eof
• GenericR-QAF!F0044BCB4B1D
• GenericRXGO-YK!C419CDD0DECE
• GenericRXHS-MH!9F8B60567642
• GenericRXHT-WL!2BCB003D74F9
• HTML/Chopper.a
• HTool-JSPRat
• Nbtscan
• Packed-LF!313909878C72
• Packed-LF!6F5E0882316C
• PUP-XAV-HC
• RDN/Generic BackDoor
• RDN/Generic BackDoor.ml
• RDN/Generic PUP.abb
• RDN/Generic PUP.bmb
• RDN/Generic PUP.pk
• RDN/Generic PUP.z
• RDN/Generic PWS.mp
• RDN/Generic.cix
• RDN/Generic.com
• RDN/Generic.dxw
• RDN/Generic.erp
• RDN/Generic.grp
• RDN/Generic.hra
• Trojan-FMWJ!CD5AAA37EE16
• Trojan-FPYL!62BCBFAE5276
• W97M/MacroLess.h