GRAPH

جزئیات تهدید APT27

تهدید پیشرفته سایبری در زیرساخت‌های کشور

شناسایی:‌ دوم اسفند 99

×

تهدید APT27

APT27 یک گروه حرفه‌ای تهدیدات سایبری است که براساس شواهد بدست آمده توسط شرکت‌های امنیتی، به زبان چینی صحبت می‌کنند. به همین دلیل خواستگاه این «کمپین» را هکرهای چینی می‌دانند.

مراحل حمله گروه APT27

هدف این کمپین، سرقت اطلاعات از سفارتخانه‌ها و زیرساخت‌های حیاتی مانند مراکز نظامی، مراکز دولتی و همچنین مراکز تحقیقاتی و علمی‌ است که معمولا طی مراحل زیر انجام می‌شود:

نفوذ به دیتاسنترها و آلوده‌سازی سایت‌ها

براساس شواهد مشاهده شده، این کمپین به دیتاسنترهای ملی و بزرگ کشورهای مختلف نفوذ کرده و دسترسی‌های لازم را ایجاد می‌کند. پس از نفوذ به دیتاسنترهای ملی، وب‌سایت‌های مهم و پربازدید آلوده شده تا سیستم کاربران با مشاهده‌ی این‌سایت‌ها آلوده شود.

نصب عامل ماناسازی دسترسی

برای حفظ دسترسی بلند‌مدت و همچنین افزایش سطح اختیارات، این کمپین ایمپلنت اختصاصی مربوط به خود را در سیستم‌های آلوده نصب می‌کند. همواره ایمپلنت‌های این گروه از درایور سطح کرنل استفاده می‌کند.

اتصال به ماشین‌های آلوده شده

این کمپین برای اتصال به ماشین‌های آلوده از دو روش اتصال ماشین به سرور C&C و یا اتصال مهاجم به ماشین آلوده ازطریف پورت‌های ۸۰ و ۴۴۳ استفاده می‌کند.

مراحل اجرای جدیدترین ایمپلنت APT27

March-April 2021

مراحل شناسایی حمله‌ APT27 در «سامانه شناسایی تهدیدات پیشرفته (XDR) گراف»


نکات قابل توجه در حمله‌ جدید APT27

  • گروه APT27 مجددا فعال شده و این‌بار با استفاده از روش‌ها، تکنیک‌ها و ابزارهای پیشرفته‌ و با ماندگاری بیشتر به سامانه‌ها و شبکه‌های داخل ایران حمله کرده است.
  • در حمله جدید APT27، به دلیل استفاده از درایور سطح کرنل، پیدا کردن فایل‌ها به راحتی امکان‌پذیر نبوده و ایمپلنت‌ها کاملا مخفی شده‌اند.
  • آنتی‌ویروس‌های معتبر و مطرح خارجی که بر روی سیستم‌های آلوده نصب بودند، هیچ‌گونه هشداری از این تهدید ارائه ندادند. این موضوع اهمیت استفاده از سامانه‌های تخصصی مانند سامانه XDR گراف (شناسایی تهدیدات پیشرفته گراف) را که برای شناسایی تهدیدات پیشرفته و APTها است نشان می‌دهد.

قابلیت‌های کلیدی سامانه‌ XDR گراف (ATD)

شناسایی آنومالی (رفتار مشکوک)

موتور correlation سه مرحله‌ای

ماژول EDR و Threat Intelligence

شناسایی و واکنش به تهدیدات Endpoint

ماژول تحلیل فایل

تحلیل ایستا (MAV) و سندباکس

خدمات MDR

شناسایی و پاسخ‌دهی ۲۴ ساعته

آخرین ابزارها و گزارش‌ها

گزارش تحلیلی

آخرین گزارش حمله اسفند ۱۳۹۹ کمپین APT27 + نشانه‌های تشخیص (IOC)

۲۸ فروردین 1400

ابزار پاکساز

دریافت ابزار شناسایی و پاکسازی سیستم‌های آلوده + سورس کد

۲۸ فروردین 1400

آخرین اخبار

اطلاع از آخرین اخبار APT27 در صفحه لینکدین گراف

گزارش تحلیلی

آخرین گزارش حمله دی ۱۳۹۸ کمپین APT27 + نشانه‌های تشخیص (IOC)

بهمن 98

دریافت پشتیبانی از GRAPH

تیم MDR گراف، خدمات شناسایی تهدیدات پیش از وقوع و رسیدگی به رخدادها و حمله‌ها را پس از وقوع، برای جلوگیری از گسترش آلودگی و سرقت اطلاعات در زیرساخت‌های سایبری ارائه می‌کند.

خدمات MDR گراف برای مشتریان سامانه XDR گراف (ATD) به صورت ویژه و در کمتر از ۱ ساعت در شهر تهران، در محل کارفرما ارائه می‌شود. برای سایر سازمان‌ها، شرکت‌ها و مجموعه‌هایی که از سامانه XDR گراف (ATD) استفاده نمی‌کنند، این زمان بین ۳ تا ۵ ساعت از لحظه اعلام تهدید خواهد بود. گراف برای رسیدگی سریعتر به رخداد‌ها، خط ویژه‌ خدمات MDR را به صورت ۲۴ ساعته راه‌اندازی کرده است. مشتریان گراف می‌توانند با استفاده از روش‌های زیر درخواست‌های خود را اعلام و ثبت کنند.

خط ویژه رسیدگی به رخداد سایبری: 021 4771 6666

ایمیل: mdr@graph-inc.ir

ثبت نام در خبرنامه

با وارد کردن ایمیل خود و ثبت نام در خبرنامه، آخرین اخبار مربوط به APT27 برای شما ارسال خواهد شد.