intezer Labs
Az APT15, egy információ-feltörő csoport, amely esetleg egy kínai szervezethez kapcsolódik, kifejlesztett egy új rosszindulatú program-törzset, amely szerint az Intezer legfelső biztonsági kutatócég infosec-szakértői azt állítják, hogy régebbi eszközökből kölcsönöznek kódot. A csoport legalább 2010-2011 óta aktív, ezért meglehetősen nagy kódkönyvtárral rendelkezik, ahonnan tovább lehet meríteni.
Amióta kémkedési kampányokat folytat a védelmi és energetikai célpontok ellen, az APT15 meglehetősen magas profilot tartott fenn. A csoport crackerei a hátsó ajtó biztonsági réseit használták a brit szoftvertelepítésekben, hogy még márciusban eltalálják az Egyesült Királyság kormányzati vállalkozóit.
Legutóbbi kampányuk olyasvalamit érint, amelyet a biztonsági szakértők MirageFox-nak hívnak, mivel nyilvánvalóan egy 2012-es, Mirage nevű vintage eszközön alapszik. Úgy tűnik, hogy a név az egyik modulban található karakterláncból származik, amely a feltörési eszközt hajtja végre.
Mivel az eredeti Mirage-támadások kódot használtak egy távoli héj létrehozásához, valamint a visszafejtési funkciókat, ezzel fel lehet használni a biztonságos rendszerek irányítását, függetlenül attól, hogy virtualizáltak-e vagy csupasz fémen futottak. A Mirage maga is megosztotta a kódot az olyan kiber támadási eszközökkel, mint a MyWeb és a BMW.
Ezeket is az APT15-re vezetik vissza. A legújabb biztonsági eszköz mintáját június 8-án állították össze a DLL biztonsági szakértői, majd egy nappal később feltöltötték a VirusTotal-ra. Ez lehetővé tette a biztonságkutatók számára, hogy összehasonlítsák más hasonló eszközökkel.
A MirageFox egy egyébként legitim McAfee futtatható fájlt használ a DLL sérüléséhez, majd eltérítéséhez tetszőleges kódfuttatást tesz lehetővé. Egyes szakértők úgy vélik, hogy ezt olyan rendszerek átvétele céljából végzik, amelyekre a kézi irányítási és irányítási (C&C) utasításokat továbbítani lehet.
Ez egyezne az APT15 által korábban használt mintával. Az Intezer képviselője még azt is kijelentette, hogy az APT15 úgyszólván üzleti tevékenységet folytat a veszélyeztetett környezethez legjobban illeszkedő, testre szabott rosszindulatú programok összetevőinek elkészítésével.
A korábbi eszközök kihasználták az Internet Explorer programban található kihasználást, hogy a rosszindulatú programok kommunikálni tudjanak távoli minősítési és kiszolgáló szerverekkel. Bár az érintett platformok listája még nem áll rendelkezésre, úgy tűnik, hogy ez a specifikus rosszindulatú program nagyon specializált, és ezért úgy tűnik, hogy nem jelent fenyegetést a legtöbb végfelhasználó számára.
Címkék rosszindulatú
