پیشتازان تکنولوژی ، اولین فروشگاه تخصصی محصولات کارکرده و خدمات IT
021 - 88 91 4771
5 مقاله در مقالات آموزشی

گروه APT27 چه کسانی هستند؟

  تاریخ ٠٨ اسفند ۱٣۹٨
  تعداد بازدید 521

گروه APT27 چه کسانی هستند؟

به گفته بسیاری از منابع، APT27 منسوب به یک گروه هکر چینی است که حدودا از سال 2010 میلادی فعالیت خود را آغاز کرده اند و در طول این سال ها، به حریم خصوصی چندین سازمان در کشورهای مختلف تجاوز کرده اند. هدف آن ها از نفوذ به سایت های اطلاعاتی متفاوت بوده است؛ جاسوسی، سرقت اطلاعات ریز و درشت و... .

برخی از دستگاه های داخلی جمهوری اسلامی ایران نیز مورد هجوم این گروه قرار گرفته اند که برای مقابله با حملات مجدد، مرکز مدیریت راهبردی افتا با مشارکت مرکز دانش بنیان بیت بان ابزارهایی را ساخته و در دسترس عموم قرار داده اند که شما می توانید آن ها را از اینجا دریافت کنید.

اصلی ترین اهداف این گروه در منطقه خاورمیانه قرار داشتند. به گفته محققان، این گروه پس از نفوذ به یک سازمان، پلی برای بازگشت به آن ایجاد می کنند و معمولا هر سه ماه مجددا به آن سیستم بازمی گردند و ضمن بررسی سالم بودن پل ارتباطی، اطلاعات را رصد می کنند.

یکی از ابزارهای APT27 توانایی ایجاد دسترسی بر روی دستگاه هدف را دارد که بدافزار را برای مدت طولانی بر روی سیستم ماندگار می کند. در بعضی از حملات آن ها، فایل بدافزار و مسیر اجرا شدن آن در Software\Microsoft\Windows\CurrentVersion\Run\  ثبت می شود تا به این ترتیب بدافزار بر روی سیستم ماندگار شود. هکرهای این گروه از PowerShell برای اجرای اسکریپت ها و کدهای مخرب استفاده می کنند و svchost.exe را مورد هدف قرار می دهند تا کدهای مخرب را در آن وارد کنند.

این گروه یکی از معروف ترین گروه های هکر است که به صورت استراتژیک به سایت های مورد هدف خود نفوذ و آن ها را آلوده می کند. بدافزار های این مهاجمین معمولا از http برای ارتباط برقرار کردن با سرور اصلی استفاده می کنند.

گروه APT27 اطلاعات را گام به گام و در فایل هایی با اندازه از قبل تعیین شده به سرورهای آلوده به بدافزار China Chopper می فرستند و برای غیرفعال کردن ثبت وقایع در سرور مورد هجوم، از فایل appcmd.exe استفاده می کنند. همچنین برای فشرده سازی و رمزگذاری فایل ها از ابزار RAR استفاده می کنند و قبل از اینکه اطلاعات را به سرور خودشان ارسال کنند، برای بازکردن فایل ها رمز عبور قرار می دهند.

یکی از تکنیک هایی که APT27 در عملیات هایش استفاده می کند، DLL Search Hijaking است که در آن از روش های ویندوز برای جست و جوی فایل های DLL مورد نیاز در اجرای برنامه ها سوء استفاده می شود و باعث ماندگاری برنامه مخرب بر روی سیستم قربانی می شود. از دیگر تکنیک های این گروه، سوء استفاده از ضعف امنیتی CVE-2014-6324 در ویندوز و CVE-2019-0604 در نرم افزار مایکروسافت SharePoint است. همچنین اعضای این گروه مخرب از Windows Remote Management برای اینکه بتوانند کد ها را از راه دور اجرا کنند استفاده می کنند.

دسته : مقالات آموزشی