APT15开发出新的恶意软件”MirageFox”

  • A+
所属分类:网络安全新闻

一家据信在中国境外运作的网络间谍组织开发了一种新型恶意软件,该软件似乎基于威胁演员所使用的第一种工具之一。

APT15开发出新的恶意软件

这位演员被称为APT15,Ke3chang,Mirage,Vixen Panda,Royal APT和Playful Dragon,其工具由Mirage,BS2005,RoyalCLI,RoyalDNS,TidePool,BMW和MyWeb等各种网络安全公司跟踪。该组织一直以防御,高科技,能源,政府,航空航天,制造和其他行业的组织为目标。

去年,黑客袭击了NCC集团的英国客户,其中一起APT15最近发生的攻击事件被发现。该组织为英国政府提供了广泛的服务,NCC认为袭击者可能通过其客户针对政府部门和军事技术。

NCC当时注意到该小组改进了其工具和技术。该公司发现了APT15使用的两个新后门,其中包括BS2005的后继者RoyalCLI和RoyalDNS。

Intezer是一家专注于识别代码重用的网络安全公司,上周报告称,它已经根据YARA为威胁演员使用的最古老的工具Mirage和Reaver创建的规则识别出与APT15相关的新恶意软件,之前由研究人员将这些恶意软件链接到中国。

由Intezer MirageFox根据其中一个组件中的字符串进行复制的新恶意软件与Mirage和Reaver共享代码。专家们发现与原始Mirage恶意软件有很大的相似之处,包括用于远程shell的代码以及解密命令和控制(C&C)配置数据的功能。

“MirageFox的功能类似于之前由APT15创建的恶意软件,首先收集关于计算机的信息,如用户名,CPU信息,体系结构等等。然后它将这些信息发送给C&C,打开一个后门,并等待来自C&C的命令,其功能包括修改文件,启动进程,终止自身以及APT15 RAT中常见的更多功能,“高级安全研究员Jay Rosenberg Intezer 在一篇博客文章中解释道。

安全公司分析的样本于6月8日编译完成,并在一天后上载到VirusTotal。尽管目前还不清楚这些恶意软件是如何分发给受害者的,Intezer对MirageFox做了一些有趣的观察。

恶意软件似乎滥用合法的McAfee二进制文件通过DLL劫持加载恶意进程。已知APT15在其广告系列中使用DLL劫持。

Intezer还注意到C&C服务器有一个内部IP地址,这表明该样本是专门针对目标组织的,并且与NCC Group今年早些时候描述的攻击类似,攻击者可以使用受害者的内部网络一个VPN。

目前还不清楚它们是否有联系,但Intezer指出,MirageFox的发现与有报道称黑客被认为由中国赞助的黑客窃取了来自美国海军承包商的敏感信息。

尽管之前有关APT15的公开报道声称,该组织至少在2010年前已出现,但罗森伯格在周末告诉SecurityWeek,他已在2009年将Mirage样本上传到VirusTotal。

Rosenberg还指出,Mirage与APT15的其他恶意软件共享代码,包括BMW,BS2005,特别是MyWeb。专家还认为,根据他们共享的代码,APT15恶意软件的开发人员也可能创建了Reaver。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: