Zlonamjerni softver MirageFox povezan s organizacijom za probijanje APT15 kaže Intezer

laboratoriji intezer

APT15, skupina za probijanje informacija koja je možda povezana s organizacijom u Kini, razvila je novi soj zlonamjernog softvera za kojeg stručnjaci za infosec iz vodeće sigurnosne istraživačke tvrtke Intezer tvrde da posuđuju kod od starijih alata. Skupina je aktivna barem od 2010. do 2011. godine i stoga ima prilično veliku biblioteku koda iz koje se može izvući.

Budući da nastoji provoditi špijunske kampanje protiv obrambenih i energetskih ciljeva, APT15 zadržao je prilično visok profil. Krekeri iz skupine koristili su ranjivosti u pozadini u britanskim softverskim instalacijama kako bi pogodili dobavljače iz britanske vlade još u ožujku.

Njihova najnovija kampanja uključuje nešto što sigurnosni stručnjaci nazivaju MirageFox, jer se očito temelji na berbenom alatu Mirage iz 2012. godine. Čini se da naziv dolazi iz niza koji se nalazi u jednom od modula koji pokreće alat za pucanje.

Kako su se izvorni napadi Mirage koristili kodom za stvaranje udaljene ljuske, kao i funkcije dešifriranja, mogao bi se koristiti za stjecanje kontrole nad sigurnim sustavima bez obzira jesu li virtualizirani ili rade na golom metalu. Sam Mirage također je dijelio kôd s cyberattack alatima poput MyWeba i BMW-a.

I oni su pronađeni do APT15. Uzorak njihovog najnovijeg alata sastavili su sigurnosni stručnjaci za DLL 8. lipnja, a zatim ga dan kasnije prenijeli na VirusTotal. To je istraživačima sigurnosti dalo mogućnost usporedbe s drugim sličnim alatima.

MirageFox koristi inače legitimnu izvršnu datoteku McAfee da kompromitira DLL, a zatim je otme kako bi omogućio proizvoljno izvršavanje koda. Neki stručnjaci vjeruju da je to učinjeno kako bi se preuzeli određeni sustavi na koje se tada mogu prenijeti upute za ručno upravljanje i upravljanje (C&C).

To bi odgovaralo uzorku koji je APT15 koristio u prošlosti. Predstavnik tvrtke Intezer čak je izjavio da način na koji APT15 obično posluje, takoreći, izrada prilagođenih komponenti zlonamjernog softvera dizajniranih da najbolje odgovaraju ugroženom okruženju.

Prethodni alati koristili su exploit prisutan u Internet Exploreru kako bi zlonamjerni softver mogao komunicirati s udaljenim C&C poslužiteljima. Iako popis pogođenih platformi još nije dostupan, čini se da je ovaj specifični zlonamjerni softver vrlo specijaliziran i da stoga ne predstavlja prijetnju većini vrsta krajnjih korisnika.