APT15 Cracking Organization'a Bağlı MirageFox Kötü Amaçlı Yazılım, Intezer diyor

intezer Labs

Muhtemelen Çin'deki bir organizasyonla bağlantılı olan bir bilgi kırma grubu olan APT15, en iyi güvenlik araştırma şirketi Intezer'in infosec uzmanlarının eski araçlardan kod ödünç aldığını iddia ettiği yeni bir kötü amaçlı yazılım türü geliştirdi. Grup en az 2010-2011'den beri aktiftir ve bu nedenle yararlanılabilecek oldukça geniş bir kod kitaplığına sahiptir.

Savunma ve enerji hedeflerine karşı casusluk kampanyaları yürütme eğiliminde olduğundan, APT15 oldukça yüksek bir profil sürdürdü. Grubun korsanları, Mart ayında İngiltere hükümeti müteahhitlerini vurmak için İngiliz yazılım kurulumlarındaki arka kapı güvenlik açıklarını kullandı.

En son kampanyaları, görünüşe göre Mirage adlı bir 2012 nostaljik araca dayandığı için güvenlik uzmanlarının MirageFox olarak adlandırdıkları bir şeyi içeriyor. İsim, kırma aracına güç veren modüllerden birinde bulunan bir dizeden geliyor gibi görünüyor.

Orijinal Mirage saldırıları, uzak bir kabuk ve şifre çözme işlevleri oluşturmak için kod kullandığından, sanallaştırılmış veya çıplak metal üzerinde çalışmış olup olmadıklarına bakılmaksızın güvenli sistemlerin kontrolünü elde etmek için kullanılabilir. Mirage'ın kendisi de MyWeb ve BMW gibi siber saldırı araçlarıyla kod paylaştı.

Bunlar da APT15'e kadar izlendi. En yeni araçlarının bir örneği, 8 Haziran'da DLL güvenlik uzmanları tarafından derlendi ve ardından bir gün sonra VirusTotal'a yüklendi. Bu, güvenlik araştırmacılarına onu diğer benzer araçlarla karşılaştırma yeteneği verdi.

MirageFox, bir DLL'nin güvenliğini aşmak için başka türlü meşru bir McAfee yürütülebilir dosyası kullanır ve ardından keyfi kod yürütülmesine izin vermek için onu ele geçirir. Bazı uzmanlar, bunun manuel komuta ve kontrol (C&C) talimatlarının iletilebileceği belirli sistemleri devralmak için yapıldığına inanıyor.

Bu, APT15'in geçmişte kullandığı modelle eşleşecektir. Intezer'den bir temsilci, tehlikeye atılan ortama en iyi uyacak şekilde tasarlanmış özelleştirilmiş kötü amaçlı yazılım bileşenleri oluşturmanın, deyim yerindeyse, APT15'in genellikle iş yapma şeklidir.

Önceki araçlar, kötü amaçlı yazılımın uzak C&C sunucularıyla iletişim kurabilmesi için Internet Explorer'da bulunan bir açıktan yararlanıyordu. Etkilenen platformların bir listesi henüz mevcut olmasa da, bu belirli kötü amaçlı yazılımın çok özel olduğu ve bu nedenle çoğu son kullanıcı türü için bir tehdit oluşturmadığı görülüyor.