intezer Labs
Ang APT15, isang pangkat sa pag-crack ng impormasyon na posibleng na-link sa isang samahan sa Tsina, ay nakabuo ng isang bagong sala ng malware na ang mga dalubhasa sa infosec mula sa nangungunang security firm ng Intezer ay nag-claim ng humihiram ng code mula sa mga mas lumang tool. Ang grupo ay naging aktibo mula noong hindi bababa sa 2010-2011, at samakatuwid mayroon itong isang medyo malaking silid aklatan ng code kung saan iginuhit.
Dahil may kaugaliang magsagawa ng mga kampanya sa paniniktik laban sa mga target sa pagtatanggol at enerhiya, ang APT15 ay nagpapanatili ng isang medyo mataas na profile. Ang mga crackers mula sa pangkat ay gumamit ng mga kahinaan sa likod ng bahay sa mga pag-install ng software ng British upang maabot ang mga kontratista ng gobyerno ng UK noong Marso.
Ang kanilang pinakahuling kampanya ay nagsasangkot ng isang bagay na ang mga eksperto sa seguridad ay tumatawag sa MirageFox, dahil maliwanag na batay ito sa isang 2012 vintage tool na tinatawag na Mirage. Ang pangalan ay tila nagmula sa isang string na matatagpuan sa isa sa mga module na nagpapagana sa tool na pag-crack.
Tulad ng orihinal na pag-atake ng Mirage na ginamit na code upang lumikha ng isang remote shell pati na rin ang mga pagpapaandar ng decryption, maaari itong magamit upang makakuha ng kontrol sa mga ligtas na system hindi alintana kung ang mga ito ay virtualized o tumatakbo sa hubad na metal. Ang Mirage mismo ay nagbahagi rin ng code sa mga tool sa cyberattack tulad ng MyWeb at BMW.
Ang mga ito rin ay na-trace sa APT15. Ang isang sample ng kanilang pinakabagong tool ay naipon ng mga eksperto sa seguridad ng DLL noong Hunyo 8 at pagkatapos ay na-upload sa VirusTotal isang araw mamaya. Binigyan nito ang mga mananaliksik sa seguridad ng kakayahang ihambing ito sa iba pang mga katulad na tool.
Gumagamit ang MirageFox ng isang kung hindi man lehitimong McAfee maipapatupad na file upang ikompromiso ang isang DLL at pagkatapos ay hijack ito upang payagan ang di-makatwirang pagpapatupad ng code. Naniniwala ang ilang eksperto na ginagawa ito upang sakupin ang mga tukoy na system na maaaring mailipat sa mga tagubilin sa manu-manong utos at kontrol (C&C).
Itutugma ito sa pattern na ginamit ng APT15 noong nakaraan. Inilahad pa ng isang kinatawan mula sa Intezer na ang pagbuo ng mga na-customize na bahagi ng malware na idinisenyo upang umangkop sa nakompromiso na kapaligiran ay kung paano karaniwang gumagawa ang APT15, kung gayon.
Ang mga nakaraang tool ay gumamit ng isang pagsasamantala na naroroon sa Internet Explorer upang ang malware ay maaaring makipag-usap sa mga malalayong server ng C&C. Habang ang isang listahan ng mga apektadong platform ay hindi pa magagamit, lilitaw na ang tukoy na malware na ito ay napaka dalubhasa at samakatuwid ay hindi mukhang nagbabanta sa karamihan sa mga uri ng mga end-user.
Mga tag malware
