Аналитики компании SecureWorks рассказали, что китайская хак-группа APT27 (также известна под именами Bronze Union, Emissary Panda, Threat Group 3390, Lucky Mouse, ZipToken и Iron Tiger) использует для своих операций публично доступные инструменты, некоторые из которых датированы 2007 годом.
По данным ИБ-специалистов, данная группировка активна с начала «нулевых» и похищает информацию самых разных компаний и организаций, начиная от технологических фирм и крупных производств, и заканчивая общественным и политическими организациями. Напомню, что в прошлом году APT27, к примеру, связывали с атаками на ЦОД в Центральной Азии.
Эксперты SecureWorks пишут, что в 2017-2018 годах в арсенал злоумышленников входило множество различных инструментов, причем многие из них были созданы более 10 лет назад. Но возраст этих решений хакеров не смущает, они дорабатывают код под свои нужды и успешно задействуют в современных операциях.
Один из таких инструментов — RAT ZxShell, чьи исходные коды были опубликованы в открытом доступе еще в 2007 году самим автором, известным как LZX. И хотя хак-группы не раз создавали собственные версии этого RAT, эксперты обнаружили у модификации APT27 интересные особенности. Например, обновленная версия включает в себя тулзу для редиректа пакетов HTran, и подписана сертификатом компании Hangzhou Shunwang Technology, которую еще в 2013 году поглотила Shanghai Hintsoft.
Еще один хорошо известный вредонос из арсенала APT27 — это Gh0st RAT, исходные коды которого стали доступны широкой публике в 2008 году. По информации исследователей, модифицированная вариация Gh0st RAT использовалась в кампаниях хак-группы в 2018 году. Одним из изменений, которое участники APT27 внесли в код малвари, стала кастомизация идентификатора Gh0st RAT, что позволяет преступникам лучше маскировать коммуникации с управляющими серверами в общем потоке трафика.
Эксперты резюмируют, что хакеры в основном полагаются на собственные разработки, с низкой вероятностью обнаружения, на первых этапах атаки, а когда доступ к целевой сети уже получен и компрометация удалась, злоумышленники переходят на более простые решения, чей код зачастую доступен публично. Кроме того, использование широко распространенных инструментов помогает злоумышленникам запутать следы и добавить работы ИБ-экспертам, которые будут расследовать инцидент и разбираться, кто за ним стоит.
