intezer Labs
APT15, en informationssprængningsgruppe, der muligvis er knyttet til en organisation i Kina, har udviklet en ny malware-stamme, som infosec-eksperter fra det største sikkerhedsforskningsfirma Intezer hævder, at de låner kode fra ældre værktøjer. Gruppen har været aktiv siden mindst 2010-2011, og den har derfor et ret stort kodebibliotek, hvorfra man kan trække på.
Da det har tendens til at gennemføre spionagekampagner mod forsvars- og energimål, har APT15 opretholdt en forholdsvis høj profil. Crackere fra gruppen brugte bagdørssårbarheder i britiske softwareinstallationer for at ramme britiske regeringsentreprenører tilbage i marts.
Deres seneste kampagne involverer noget, som sikkerhedseksperter kalder MirageFox, da det tilsyneladende er baseret på et 2012-vintage-værktøj kaldet Mirage. Navnet ser ud til at komme fra en streng, der findes i et af modulerne, der driver krakningsværktøjet.
Da de oprindelige Mirage-angreb brugte kode til at oprette en fjernskal samt dekrypteringsfunktioner, kunne den bruges til at få kontrol over sikre systemer, uanset om de blev virtualiseret eller kørte på bare metal. Mirage selv delte også kode med cyberattack-værktøjer som MyWeb og BMW.
Disse er også blevet sporet til APT15. En prøve af deres nyeste værktøj blev samlet af DLL-sikkerhedseksperter den 8. juni og derefter uploadet til VirusTotal en dag senere. Dette gav sikkerhedsforskere muligheden for at sammenligne det med andre lignende værktøjer.
MirageFox bruger en ellers legitim McAfee eksekverbar fil til at kompromittere en DLL og derefter kapre den for at muliggøre udførelse af vilkårlig kode. Nogle eksperter mener, at dette gøres for at overtage specifikke systemer, som manuel kommando- og kontrolinstruktion (C&C) derefter kan overføres til.
Dette ville matche det mønster, som APT15 tidligere har brugt. En repræsentant fra Intezer har endda udtalt, at konstruktion af tilpassede malware-komponenter, der er designet til at passe bedst til det kompromitterede miljø, er, hvordan APT15 normalt handler, så at sige.
Tidligere værktøjer benyttede en udnyttelse til stede i Internet Explorer, så malware kunne kommunikere med eksterne C & C-servere. Mens en liste over berørte platforme endnu ikke er tilgængelig, ser det ud til, at denne specifikke malware er meget specialiseret og derfor ikke ser ud til at udgøre en trussel for de fleste typer slutbrugere.
Mærker malware
