Intezer Labs
APT15 ซึ่งเป็นกลุ่มการถอดรหัสข้อมูลที่อาจเชื่อมโยงกับองค์กรในประเทศจีนได้พัฒนามัลแวร์สายพันธุ์ใหม่ที่ผู้เชี่ยวชาญด้าน Infosec จาก บริษัท วิจัยด้านความปลอดภัยชั้นนำ Intezer อ้างสิทธิ์ในการยืมรหัสจากเครื่องมือรุ่นเก่า กลุ่มนี้มีการใช้งานตั้งแต่อย่างน้อย 2010-2011 ดังนั้นจึงมีไลบรารีโค้ดขนาดใหญ่พอสมควรสำหรับการใช้งาน
เนื่องจากมีแนวโน้มที่จะดำเนินการรณรงค์จารกรรมต่อต้านเป้าหมายด้านการป้องกันและพลังงาน APT15 จึงมีรายละเอียดค่อนข้างสูง แครกเกอร์จากกลุ่มใช้ช่องโหว่ลับๆในการติดตั้งซอฟต์แวร์ของอังกฤษเพื่อโจมตีผู้รับเหมาของรัฐบาลอังกฤษในเดือนมีนาคม
แคมเปญล่าสุดของพวกเขาเกี่ยวข้องกับสิ่งที่ผู้เชี่ยวชาญด้านความปลอดภัยเรียกว่า MirageFox เนื่องจากเห็นได้ชัดว่ามันมาจากเครื่องมือโบราณปี 2012 ที่เรียกว่า Mirage ชื่อดูเหมือนจะมาจากสตริงที่พบในโมดูลใดโมดูลหนึ่งที่ขับเคลื่อนเครื่องมือแคร็ก
เนื่องจากการโจมตีของ Mirage ดั้งเดิมนั้นใช้โค้ดเพื่อสร้างรีโมตเชลล์และฟังก์ชันการถอดรหัสจึงสามารถใช้เพื่อควบคุมระบบความปลอดภัยได้ไม่ว่าจะเป็นระบบเสมือนหรือทำงานบนโลหะเปล่าก็ตาม มิราจเองก็แชร์โค้ดกับเครื่องมือโจมตีทางไซเบอร์เช่น MyWeb และ BMW
สิ่งเหล่านี้ถูกโยงไปถึง APT15 ด้วย ตัวอย่างเครื่องมือใหม่ล่าสุดรวบรวมโดยผู้เชี่ยวชาญด้านความปลอดภัย DLL ในวันที่ 8 มิถุนายนและอัปโหลดไปยัง VirusTotal ในวันต่อมา สิ่งนี้ทำให้นักวิจัยด้านความปลอดภัยสามารถเปรียบเทียบกับเครื่องมืออื่นที่คล้ายคลึงกันได้
MirageFox ใช้ไฟล์ปฏิบัติการ McAfee ที่ถูกต้องตามกฎหมายเพื่อโจมตี DLL จากนั้นจึงจี้เพื่อให้สามารถใช้รหัสได้ตามอำเภอใจ ผู้เชี่ยวชาญบางคนเชื่อว่าสิ่งนี้ทำขึ้นเพื่อควบคุมระบบเฉพาะที่สามารถส่งคำสั่งคำสั่งและควบคุมด้วยตนเอง (C&C) ไปได้
สิ่งนี้จะตรงกับรูปแบบที่ APT15 เคยใช้ในอดีต ตัวแทนจาก Intezer ได้ระบุว่าการสร้างส่วนประกอบมัลแวร์แบบกำหนดเองที่ออกแบบมาเพื่อให้เหมาะกับสภาพแวดล้อมที่ถูกบุกรุกมากที่สุดเป็นวิธีที่ APT15 มักจะทำธุรกิจ
เครื่องมือก่อนหน้านี้ใช้ประโยชน์ที่มีอยู่ใน Internet Explorer เพื่อให้มัลแวร์สามารถสื่อสารกับเซิร์ฟเวอร์ C&C ระยะไกลได้ แม้ว่าจะยังไม่มีรายชื่อแพลตฟอร์มที่ได้รับผลกระทบ แต่ดูเหมือนว่ามัลแวร์เฉพาะนี้มีความเชี่ยวชาญเป็นอย่างมากดังนั้นจึงดูเหมือนจะไม่เป็นภัยคุกคามต่อผู้ใช้ปลายทางส่วนใหญ่
แท็ก มัลแวร์
