APT17 koristi 9002 RAT zlonamjerni softver

9002 RAT je zlonamjerni softver povezan sa kineskom naprednom trajnom prijetnjom APT17, koja se takođe naziva DeputyDog. Ova grupa je aktivna najmanje od 2008. godine i poznata je po ciljanim napadima na kompanije i vladine subjekte. Dvije kampanje koje koriste ovaj RAT primijećene su protiv italijanskih kompanija i vladinih agencija u junu i julu 2024. godine, pokazuje istraživanje kompanije TG Soft.

9002 RAT

APT17 koristi 9002 RAT zlonamjerni softver; Source: Bing Image Creator

9002 RAT

9002 RAT je trojanac za daljinski pristup (eng. Remote Access Trojan – RAT) koji omogućava napadaču da dobije neovlašteni pristup zaraženom sistemu. Ovaj zlonamjerni softver može omogućiti napadaču da ukrade osjetljive podatke, instalira dodatni zlonamjerni softver ili održi postojanost za buduće napade. Varijanta koja se koristi u italijanskim kampanjama djeli veze sa 3102 RAT i drugim varijantama povezanim sa APT17.

U junu i julu 2024. godine primijećena su dva ciljana napada na italijanske kompanije i vladine entitete korišćenjem varijante 9002 RAT u režimu bez datoteke na disku. Ove kampanje su iskorišćavale ranjivosti u Microsoft Office dokumentima ili su pružale veze za preuzimanje Skype for Business paketa sa lažnih domena italijanske vlade. Krajnji cilj je bio instaliranje zlonamjernog softvera i odobravanje pristupa APT17 sistemima žrtava za eksfiltraciju podataka i dalje istraživanje mreže. Zlonamjerni softver se obično isporučivao putem spear-phishing elektronskih poruka ili napadi vodenih rupa (eng. watering hole attack).

Mogućnosti zlonamjernog softvera uključuju praćenje korisničkog unosa (eng. keylogging), snimanje ekrana, manipulaciju datotekama i presretanje mrežnog saobraćaja. Takođe ima mogućnost preuzimanja i izvršavanja dodatnih korisnih tereta sa svog servera za komandu i kontrolu (C&C). Korišćenje režima bez datoteke na disku (eng. diskless) u ovim napadima čini izazovnijim bezbjednosnim rješenjima da otkriju i uklone zlonamjerni softver pošto na zaraženom sistemu nema stalnog skladišta.

 

“Čini se da se zlonamjerni softver stalno ažurira i varijantama bez datoteke na disku. Sastoji se od različitih modula koji se aktiviraju po potrebi od strane sajber aktera kako bi se smanjila mogućnost presretanja.”

– TG Soft –

 

APT17

APT17 grupa poznata još pod nazivom Deputy Dog, je sofisticirana kineska grupa za napredne trajne prijetnje (eng. Advanced persistent threat – APT) koja aktivno cilja različite industrije od otprilike 2008 godine. Smatra se da je povezana sa kineskim Ministarstvom državne bezbjednosti. Primarni ciljevi ove zlonamjerne grupe uključuju vladine subjekte, odbrambenu industriju, advokatske firme, kompanije za informacione tehnologije, rudarske kompanije i nevladine organizacije.

APT17 je prvi put dokumentovala kompanija Mandiant u vlasništvu kompanije Google (tada FireEye) 2013. godine kao dio operacija sajber špijunaže pod nazivom DeputyDog i Ephemeral Hydra, koje su koristile greške nultog dana u Microsoft Internet Explorer softveru da napadnu ciljeve od interesa. APT17 je takođe povezan sa drugim imenima kao što su Aurora Panda, Bronze Keystone, Dogfish, Elderwood, Helium, Hidden Lynx i TEMP.Avengers zbog njihovog zajedničkog preklapanja alata sa drugom kineskom grupom zlonamjernih aktera pod nazivom Webworm.

Primarni metod rada APT17 grupe uključuje korišćenje dobro poznatih internet lokacija za skladištenje komandnih i kontrolnih (C&C) IP adresa, što čini izazov za istraživače da identifikuju njihovo pravo poreklo. Često koriste tehniku poznatu kao “sakrivanje na vidnom mjestu” tako što kreiraju lažne profile na popularnim internet lokacijama ili iskorištavaju legitimne domene za distribuciju zlonamjernog softvera. Na primjer, primijećeno je da koriste Microsoft TechNet blog i LinkedIn kao pokriće za C&C komunikacije. Grupa takođe koristi tehniku koja se zove “promjena domena”, gdje registruju i koriste kratkotrajne domene kojima je teško ući u trag zbog njihove kratkotrajne prirode.

Primarni zlonamjerni softver APT17 grupe, BLACKCOFFEE, je svestrani komplet alata koji uključuje različite operacije sa datotekama, manipulaciju procesima, kreiranje obrnutih komandnih okruženja i nedavno proširenje njegovih mogućnosti dodavanjem novih backdoor komandi. Takođe je poznato da grupa koristi druge porodice zlonamjernog softvera.

Geografski fokus APT17 grupe prvenstveno je bio na Sjedinjenim Američkim Državama, ali se proširio i na druge zemlje kao što su Italija i Južna Koreja. Njihovi napadi su rezultirali značajnim finansijskim gubicima, krađom intelektualne svojine i oštećenjem ugleda njihovih žrtava.

 

ZAKLJUČAK

APT17 je visoko sofisticirana kriminalna grupa koju sponzoriše Kine i koja cilja različite industrije i vladine subjekte od najmanje 2008. godine. Njihova prikrivena taktika, ciljana priroda napada i upotreba legitimnih internet lokacija za C&C komunikaciju čine ih strašnim protivnikom u okruženju sajber bezbjednosti.

Ovi ciljani napadi na italijanske entitete naglašavaju važnost sajber bezbjednosti i za vladine agencije i za korporacije. Potencijalna šteta od uspješnog napada može se kretati od krađe podataka, finansijskog gubitka, štete po reputaciju, do još težih posljedica kao što su ugrožavanje nacionalne bezbjednosti ili industrijska špijunaža.

Državni subjekti su posebno ranjivi zbog osjetljive prirode njihovih podataka. Ciljani napadi APT17 grupe na italijanske vladine agencije mogu potencijalno dovesti do krađe povjerljivih informacija u vezi sa nacionalnom odbranom, diplomatijom i sprovođenjem zakona. Korporacije se, s druge strane, suočavaju sa finansijskim gubicima zbog ugrožavanja podataka ili krađe intelektualne svojine, kao i sa oštećenjem reputacije koja može uticati na njihov krajnji rezultat poslovanja.

 

ZAŠTITA

Evo nekoliko prijedloga na koji se način organizacije mogu zaštiti od 9002 RAT:

  1. Implementacija sveobuhvatne strategije dubinske odbrane je ključna za borbu protiv naprednih trajnih prijetnji (APT) kao što je APT17 grupa i njihovog zlonamjernog softvera 9002 RAT. Ovo uključuje primjenu više slojeva bezbjednosnih kontrola, kao što su jaka odbrana perimetra, segmentacija mreže, zaštita krajnjih tačaka, sistemi za otkrivanje upada, šifrovanje podataka, kontrole pristupa i kontinuirano praćenje anomalija,
  2. Organizacije treba da aktivno učestvuju u zajednicama koje razmjenjuju obavještajne podatke o prijetnjama i da sarađuju sa kolegama iz industrije, vladinim agencijama i dobavljačima bezbjednosti kako bi ostale informisane o najnovijim prijetnjama i tehnikama koje koriste APT grupe poput APT17 grupe. Dijeljenje informacija može pomoći u otkrivanju i efikasnijem ublažavanju napada,
  3. Redovni programi podizanja svesti o bezbjednosti, simulacije phishing napada i sesije obuke mogu da edukuju zaposlene o najnovijim prijetnjama, taktikama društvenog inženjeringa i bezbjednim računarskim praksama kako bi se smanjio rizik od uspješnih napada,
  4. Obezbjeđivanje da su svi sistemi, aplikacije i operativni sistemi ažurirani najnovijim ispravkama i bezbjednosnim ažuriranjima je od suštinskog značaja za smanjenje ranjivosti koje bi mogao da iskoristi zlonamjerni softver kao što je 9002 RAT,
  5. Primjena renomiranih antivirusnih softvera na krajnjim tačkama može pomoći u otkrivanju i uklanjanju bilo koje instance 9002 RAT ili sličnih prijetnji pre nego što izazovu značajnu štetu sistemima organizacije,
  6. Ograničavanje privilegija korisnika, primjena jakih politika lozinki i korišćenje autentifikacije u više koraka (eng. multi-factor authentication – MFA) su od suštinskog značaja za smanjenje rizika od neovlaštenog pristupa osjetljivim podacima i sistemima koje bi mogle da iskoriste APT grupe poput APT17 grupe,
  7. Redovno pravljenje rezervnih kopija kritičnih podataka je ključno u slučaju uspješnog napada, jer može pomoći organizacijama da se brzo oporave od bilo kakve štete koju je prouzrokovao zlonamjerni softver bez gubitka vrijednih informacija,
  8. Segmentiranje mreža i izolovanje kritičnih sistema iz manje osjetljivih oblasti može ograničiti širenje prijetnji kao što je 9002 RAT unutar infrastrukture organizacije, smanjujući potencijalnu štetu i zastoje,
  9. Šifrovanje podataka kako u prenosu tako i u stanju mirovanja je od suštinskog značaja za zaštitu od neovlaštenog pristupa osjetljivim informacijama od strane APT grupa ili drugih zlonamjernih aktera,
  10. Implementirati sisteme za otkrivanje upada (eng. intrusion detection systems – IDS) koji mogu pomoći u otkrivanju bilo kakvog sumnjivog mrežnog saobraćaja, upozoravajući bezbjednosne timove o potencijalnim pometnjama pre nego što nanesu značajnu štetu infrastrukturi organizacije,

 

Važno je napomenuti da nijedno rješenje ne može da obezbijedi potpunu zaštitu od naprednih trajnih prijetnji kao što je APT17 grupa. Sveobuhvatna strategija odbrane u dubini koja kombinuje više slojeva bezbjednosnih kontrola i kontinuirano praćenje anomalija je od suštinskog značaja za efikasno sprečavanje, odnosno ublažavanje ovih vrsta napada.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.