شناسایی تهدید APT27 در شرکت گراف
در اسفند ماه ۱۳۹۹ شرکت گراف با استفاده از توانمندی سامانه XDR خود موفق به شناسایی یک تهدید پیشرفته سایبری شد که به نام APT27 در حوزه امنیت شناخته میشود. فرایند شکار تهدید و انجام فارنزیک و نمونهبردای توسط تیم متخصصان گراف انجام شد و پس از تایید آلودگی، پاکسازی زیرساختهای مورد حمله با اعلام به مراکز ذیصلاح انجام گرفت.از APT27 چه میدانیم؟
یک گروه حرفهای تهدیدات سایبری است که براساس شواهد بدست آمده توسط شرکتهای امنیتی، به زبان چینی صحبت میکنند. به همین دلیل خواستگاه این «کمپین» را هکرهای چینی میدانند.
مراحل حمله گروه APT27
هدف این کمپین، سرقت اطلاعات از سفارتخانهها و زیرساختهای حیاتی مانند مراکز نظامی، مراکز دولتی و همچنین مراکز تحقیقاتی و علمی است که معمولا طی مراحل زیر انجام میشود:
نفوذ به دیتاسنترها و آلودهسازی سایتها
براساس شواهد مشاهده شده، این کمپین به دیتاسنترهای ملی و بزرگ کشورهای مختلف نفوذ کرده و دسترسیهای لازم را ایجاد میکند. پس از نفوذ به دیتاسنترهای ملی، وبسایتهای مهم و پربازدید آلوده شده تا سیستم کاربران با مشاهدهی اینسایتها آلوده شود.
نصب عامل ماناسازی دسترسی
برای حفظ دسترسی بلندمدت و همچنین افزایش سطح اختیارات، این کمپین ایمپلنت اختصاصی مربوط به خود را در سیستمهای آلوده نصب میکند. همواره ایمپلنتهای این گروه از درایور سطح کرنل استفاده میکند.
اتصال به ماشینهای آلوده شده
این کمپین برای اتصال به ماشینهای آلوده از دو روش اتصال ماشین به سرور C&C و یا اتصال مهاجم به ماشین آلوده ازطریف پورتهای ۸۰ و ۴۴۳ استفاده میکند.
مراحل اجرای جدیدترین ایمپلنت APT27
مراحل شناسایی حمله APT27 در «سامانه شناسایی تهدیدات پیشرفته (XDR) گراف»
شناسایی رفتار مشکوک در سامانه XDR گراف (سامانه شناسایی تهدیدات پیشرفته) - ۲/اسفند/۹۹
آغاز فرآیند شکار تهدید توسط تیم MDR گراف - ۲/اسفند/۹۹
انجام فارنسیکس و نمونه برداری - ۳/اسفند/۹۹
اﻋﻠﺎم IOCﻫﺎی ﻣﺮﺑﻮﻃﻪ به زیرساخت مورد حمله ﺑﺮای ﭼﮏ ﮐﺮدن سایر سیستمها - ۱۰/اسفند/۹۹
تایید آلودگی و پاکسازی زیرساختهای مورد حمله 10 تا ۱۷/اسفند/۹۹
ارائه نسخه اول گزارش تحلیلی به مرکز افتای ریاستجمهوری، پدافند غیرعامل و مرکز ماهر - ۱۸/اسفند/۹۹
نکات قابل توجه در حمله جدید APT27
- گروه APT27 مجددا فعال شده و اینبار با استفاده از روشها، تکنیکها و ابزارهای پیشرفته و با ماندگاری بیشتر به سامانهها و شبکههای داخل ایران حمله کرده است.
- در حمله جدید APT27، به دلیل استفاده از درایور سطح کرنل، پیدا کردن فایلها به راحتی امکانپذیر نبوده و ایمپلنتها کاملا مخفی شدهاند.
- آنتیویروسهای معتبر و مطرح خارجی که بر روی سیستمهای آلوده نصب بودند، هیچگونه هشداری از این تهدید ارائه ندادند. این موضوع اهمیت استفاده از سامانههای تخصصی مانند سامانه XDR گراف (شناسایی تهدیدات پیشرفته گراف) را که برای شناسایی تهدیدات پیشرفته و APTها است نشان میدهد.