intezer Labs
APT15, группа по взлому информации, которая, возможно, связана с организацией в Китае, разработала новый штамм вредоносного ПО, который, по утверждению экспертов по информационной безопасности из ведущей исследовательской компании Intezer, заимствует код из старых инструментов. Группа была активна по крайней мере с 2010-2011 гг., Поэтому у нее есть довольно большая библиотека кода, из которой можно опираться.
Поскольку APT15 имеет тенденцию проводить шпионские кампании против оборонных и энергетических целей, он сохраняет довольно высокий статус. Взломщики этой группы использовали уязвимости бэкдора в британских установках программного обеспечения, чтобы поразить правительственных подрядчиков Великобритании еще в марте.
Их последняя кампания включает в себя то, что эксперты по безопасности называют MirageFox, поскольку она, по всей видимости, основана на старинном инструменте 2012 года под названием Mirage. Название, кажется, происходит от строки, найденной в одном из модулей, который приводит в действие инструмент взлома.
Поскольку исходные атаки Mirage использовали код для создания удаленной оболочки, а также функции дешифрования, его можно было использовать для получения контроля над безопасными системами, независимо от того, были ли они виртуализированы или запущены на голом железе. Сам Mirage также поделился кодом с такими инструментами кибератак, как MyWeb и BMW.
Они тоже относятся к APT15. Образец их новейшего инструмента был составлен экспертами по безопасности DLL 8 июня, а днем позже загружен на VirusTotal. Это дало исследователям безопасности возможность сравнить его с другими аналогичными инструментами.
MirageFox использует законный исполняемый файл McAfee для компрометации библиотеки DLL, а затем перехватывает ее, чтобы разрешить выполнение произвольного кода. Некоторые эксперты считают, что это делается для того, чтобы взять на себя определенные системы, которым затем могут передаваться инструкции ручного управления и контроля (C&C).
Это будет соответствовать шаблону, который APT15 использовал в прошлом. Представитель Intezer даже заявил, что создание настраиваемых компонентов вредоносного ПО, которые наилучшим образом подходят для скомпрометированной среды, - это то, как APT15 обычно работает, так сказать.
Предыдущие инструменты использовали эксплойт, присутствующий в Internet Explorer, чтобы вредоносная программа могла взаимодействовать с удаленными C&C серверами. Хотя список уязвимых платформ еще не доступен, похоже, что это конкретное вредоносное ПО является очень специализированным и поэтому не представляет угрозы для большинства типов конечных пользователей.
Теги вредоносное ПО
