intezer Labs
APT15, een informatiecracking-groep die mogelijk is gekoppeld aan een organisatie in China, heeft een nieuwe malwarestam ontwikkeld waarvan de infosec-experts van het toponderzoeksbureau Intezer beweren dat ze code lenen van oudere tools. De groep is minstens sinds 2010-2011 actief en heeft daarom een vrij grote bibliotheek met code om uit te putten.
Omdat het de neiging heeft om spionagecampagnes te voeren tegen defensie- en energiedoelen, heeft APT15 een redelijk hoog profiel behouden. Crackers van de groep gebruikten backdoor-kwetsbaarheden in Britse software-installaties om Britse overheidscontractanten in maart te raken.
Hun meest recente campagne betreft iets dat beveiligingsexperts MirageFox noemen, aangezien het blijkbaar gebaseerd is op een vintage tool uit 2012 genaamd Mirage. De naam lijkt afkomstig te zijn van een string die is gevonden in een van de modules die de cracking-tool aandrijft.
Omdat de oorspronkelijke Mirage-aanvallen code gebruikten om een externe shell te maken, evenals decoderingsfuncties, kon het worden gebruikt om controle te krijgen over beveiligde systemen, ongeacht of ze gevirtualiseerd waren of op bare metal draaiden. Mirage zelf deelde ook code met cyberaanval-tools zoals MyWeb en BMW.
Ook deze zijn terug te voeren op APT15. Een voorbeeld van hun nieuwste tool werd op 8 juni samengesteld door DLL-beveiligingsexperts en een dag later geüpload naar VirusTotal. Dit gaf beveiligingsonderzoekers de mogelijkheid om het te vergelijken met andere vergelijkbare tools.
MirageFox gebruikt een anderszins legitiem uitvoerbaar McAfee-bestand om een DLL te compromitteren en vervolgens te kapen om willekeurige code uit te voeren. Sommige experts zijn van mening dat dit wordt gedaan om specifieke systemen over te nemen waarnaar vervolgens handmatige command and control (C & C) -instructies kunnen worden verzonden.
Dit zou overeenkomen met het patroon dat APT15 in het verleden gebruikte. Een vertegenwoordiger van Intezer heeft zelfs verklaard dat het bouwen van op maat gemaakte malwarecomponenten die het beste passen bij de gecompromitteerde omgeving, de manier is waarop APT15 gewoonlijk zaken doet, om zo te zeggen.
Eerdere tools maakten gebruik van een exploit die aanwezig was in Internet Explorer, zodat de malware kon communiceren met externe C & C-servers. Hoewel er nog geen lijst met getroffen platforms beschikbaar is, lijkt het erop dat deze specifieke malware zeer gespecialiseerd is en daarom geen bedreiging lijkt te vormen voor de meeste soorten eindgebruikers.
Tags malware
