【安全资讯】APT27针对媒体公司的攻击活动

2020年4月下旬，一位客户邀请事件响应团队调查因网络泄露，导致服务器和员工工作站上的文件加密事件。根据调查，我们发现入侵的攻击者与一个著名的亚洲APT组织相关。

客户基础设施上文件的大规模加密和赎金要求是调查的起点。最初的感染是由该公司的外国办事处感染的。我们认为，最初的入口点是外国办事处网络的易受攻击服务器。下面是攻击事件的时间表：

通过分析发现，攻击者在攻击链中使用的SysUpdate和HyperBro后门是APT27组织使用的神秘远程访问木马。该组织可能至少起源于亚洲，至少从2010年开始活动。该组织的注意力集中在国防和能源行业以及航空航天和制造业的政府目标上。最常见的是，原始攻击媒介是通过利用漏洞，暴力破解凭据或利用Web服务器错误配置来破坏受害者的Web服务器。尽管在战术，技术和程序（TTP）和使用讲述工具包的使用方面相似，但是该团队的一些研究人员对于攻击归因于APT27持怀疑态度。

结论：

网络罪犯通过破坏在国外的办公点来获得进入公司总部的权限。他们控制了基础架构两年。他们使用了以前公开可用和定制开发的工具。黑客在不更改其TTP的同时，选择了相当不寻常的软件来进行获利。勒索软件的加密算法中的错误使我们能够恢复加密文件。据我们所知，攻击者无法获得任何有价值的信息。