Hakerzy APT27 atakują niemieckie sieci biznesowe

Niemieckie służby wywiadowcze BfV wydały ostrzeżenie o trwających operacjach aranżowanych przez chińską grupę hakerów APT27. W tej aktywnej kampanii atakujący wykorzystują trojany zdalnego dostępu HyperBro (RAT- Remote Access Trojans – trojan dający zdalny dostęp) jako backdoor do sieci niemieckich przedsiębiorstw komercyjnych. Backdoor działający w pamięci z możliwością zdalnej administracji, HyperBro pomaga cyberprzestępcom w utrzymaniu się w sieciach ofiar.

HyperBro to RAT, który był wcześniej był identyfikowany głównie w branży hazardowej. Złośliwe oprogramowanie zazwyczaj składa się z trzech lub więcej komponentów: a) oryginalnego programu ładującego, posiadającego podpis certyfikatem, b) złośliwego programu ładującego DLL, załadowanego z poprzedniego komponentu przez przejęcie biblioteki DLL oraz c) zaszyfrowany i skompresowany plik typu BLOB – plik ten należy do kategorii Pliki ustawień- który po odszyfrowaniu staje się ładunkiem opartym na PE z zakodowanymi w nim informacjami C2.

APT27 (znana również jako TG-3390, Emissary Panda, BRONZE UNION, Iron Tiger i LuckyMouse) to sponsorowana przez Chiny grupa zajmująca się cyber zagrożeniami, która działa od co najmniej 2010 roku i jest znana z głównie z kradzieży danych i cyberszpiegostwo.

Według niemieckiej agencji wywiadowczej od marca 2021 r. grupa APT27 wykorzystuje luki w oprogramowaniu Zoho AdSelf Service Plus, korporacyjnym rozwiązaniu do zarządzania hasłami do Active Directory i aplikacji w chmurze. Jest to zgodne z wcześniejszymi doniesieniami, że instalacje Zoho ManageEngine będą celem wielu kampanii w 2021 r., koordynowanych przez hakerów państwowych, stosujących techniki i narzędzia podobne do APT27.

Według agencji celem grupy APT27 jest kradzież krytycznych informacji oraz potencjalne dążenie do atakowania klientów swoich ofiar, w ramach ataków łańcucha dostaw.

„Federalny Urząd Ochrony Konstytucji posiada informacje o trwającej kampanii cyberszpiegowskiej prowadzonej przez grupę APT27 wykorzystującą wariant złośliwego oprogramowania HYPERBRO przeciwko niemieckim firmom komercyjnym” – napisał urząd BfV. „Nie można wykluczyć, że atakujący, oprócz kradzieży tajemnic handlowych i własności intelektualnej, próbują także infiltrować sieci klientów i usługodawców”.

Ponadto urząd BfV wydał wskaźniki włamania (IOC) i reguły YARA, aby pomóc niemieckim organizacjom w wykrywaniu infekcji HyperBro i połączeń z serwerami dowodzenia i kontroli APT27 (C2).

Grupa APT27 do połowy września 2021 roku, wykorzystywała lukę zero-day ADSelfService, a następnie przeszłs na n-dniową lukę AdSelfService, zanim 25 października zaczęli wykorzystywać lukę ServiceDesk. Według badaczy z Palo Alto Networks, skutecznie zinfiltrowali co najmniej dziewięć organizacji z kluczowych branż na całym świecie: min. obronność, opieka zdrowotna, energetyka, technologia i edukacja.