APT27, также известная как Emissary Panda, Iron Tiger и LuckyMouse, — спонсируемая китайским государством группа кибершпионажа, ведущая активность как минимум с 2010 года. Её цель — получение политической, экономической и технологической информации путём долгосрочного проникновения и поддержания постоянного доступа к сетям целей.
Кто и почему
APT27 ориентируется на широкий круг объектов: государственные структуры, телекоммуникации, здравоохранение, оборонно-промышленный комплекс и технологические компании. Группа демонстрирует сочетание разведывательных и, в отдельных случаях, коммерчески мотивированных действий — например, попыток монетизации доступа через ransomware Polar.
Методы и инструментарий
APT27 использует разнообразный арсенал для компрометации, закрепления в инфраструктуре и скрытого сбора данных. В арсенале группы отмечены как легковесные Web-shells, так и проприетарные бэкдоры и наборы эксплойтов.
- Проприетарные бэкдоры: HyperBro, SysUpdate (включая новые варианты Backdoor SysUpdate).
- Web-shells и облегчённые инструменты для поддержания доступа: в том числе Antak (версия 0.5.0 указана в расследованиях).
- Средства кражи учетных данных и утилиты для латерального перемещения внутри сети.
- Активное использование известных уязвимостей и эксплуатация уязвимых приложений для первоначального доступа.
Известные эксплойты и уязвимости
В числе используемых уязвимостей — как отдельные CVE, так и комплекты, дающие удалённое выполнение кода или возможность обхода аутентификации. Среди отмеченных —:
- ProxyLogon для Microsoft Exchange: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065;
- Zoho ManageEngine ADSelfService Plus: CVE-2021-40539;
- SharePoint: CVE-2019-0604 (в одном из эпизодов APT27 были скомпрометированы три сервера SharePoint на Ближнем Востоке и развернуты Web-shells).
Кампании и тактики
Группа демонстрирует высокую адаптивность и гибкость подходов: от прямого использования уязвимостей до таргетированных social engineering-операций и supply-chain компрометаций.
«Операция StealthyTrident включала в себя компрометацию supply-chain, в ходе которой троянские установщики приложения для чата использовались для доставки вредоносного ПО, подчеркивая сосредоточенность группы на социальной инженерии и эксплуатации.»
В 2021–2022 годах APT27 проводила крупномасштабные шпионские кампании, затронувшие здравоохранение, оборону и технологический сектор. В 2023 году зафиксировано обновление вредоносного ПО группы, направленное на уход от детектирования и повышение устойчивости контроля над компрометированными средами.
География и цели атак
A PT27 действовала в Северной Америке, Европе и Азии, с недавними атаками, нацеленными на телекоммуникационные организации Ближнего Востока и правительственные структуры стран Азии. Операции группы связывают с широкой сетью акторов, связанных с Китаем; отдельные инциденты привели к правоохранительным действиям и предъявлению обвинений гражданам Китая.
Усиливающаяся угроза и смешанная мотивация
Тактика APT27 выходит за рамки классического шпионажа. В ряде случаев группа не только сохраняла доступ и вела сбор данных, но и предпринимала попытки монетизации — например, через внедрение ransomware Polar. Это свидетельствует о смешанной мотивации — разведданные плюс финансовый интерес.
Рекомендации по защите
Исходя из методов APT27, организациям рекомендуется принять следующие превентивные меры:
- Своевременное применение патчей для критичных продуктов (включая исправления для Microsoft Exchange, Zoho ManageEngine, SharePoint и др.).
- Внедрение и настройка EDR/NGAV для обнаружения нестандартных бэкдоров (HyperBro, SysUpdate) и Web-shells.
- Мониторинг и корреляция событий для обнаружения признаков lateral movement и persistence; использование IOC и threat intelligence при расследовании инцидентов.
- Усиление контроля над supply-chain: проверка установщиков и компонентов, аудит цифровых подписей и цепочек поставок.
- Бэкапы и план восстановления, сегментация сети, реализация принципов least privilege и MFA для критичных систем.
- Обучение сотрудников защите от social engineering и регулярные red-team/blue-team упражнения.
Вывод
APT27 остаётся значимой, адаптирующейся и долгосрочной угрозой в глобальном киберпространстве. Их способность быстро использовать известные уязвимости, модернизировать инструментарий и комбинировать разведывательные и коммерческие цели подчёркивает необходимость постоянного мониторинга, своевременного патчинга и координации между секторами для минимизации рисков.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "APT27: эволюция инструментов и тактик китайского кибершпионажа".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
