インテザーラボ
中国の組織に関連している可能性のある情報クラッキンググループであるAPT15は、セキュリティ調査のトップ企業であるIntezerのinfosec専門家が古いツールからコードを借りていると主張する、新しいマルウェア株を開発しました。このグループは少なくとも2010年から2011年まで活動しており、そのため、かなり大きなコードライブラリを利用できます。
APT15は、防衛およびエネルギー目標に対してスパイキャンペーンを実施する傾向があるため、かなり高い知名度を維持しています。このグループのクラッカーは、英国のソフトウェアインストールのバックドアの脆弱性を利用して、3月に英国政府の請負業者を攻撃しました。
彼らの最新のキャンペーンには、セキュリティの専門家がMirageFoxと呼んでいるものが含まれています。これは、Mirageと呼ばれる2012年のビンテージツールに基づいているようです。この名前は、クラッキングツールを動かすモジュールの1つにある文字列に由来しているようです。
元のMirage攻撃では、コードを使用してリモートシェルと復号化機能を作成したため、仮想化されているかベアメタルで実行されているかに関係なく、安全なシステムを制御するために使用できました。 Mirage自体も、MyWebやBMWなどのサイバー攻撃ツールとコードを共有していました。
これらもAPT15まで追跡されています。最新のツールのサンプルは、6月8日にDLLセキュリティの専門家によってコンパイルされ、1日後にVirusTotalにアップロードされました。これにより、セキュリティ研究者はそれを他の同様のツールと比較することができました。
MirageFoxは、他の点では正当なMcAfee実行可能ファイルを使用してDLLを侵害し、それを乗っ取って任意のコードを実行できるようにします。一部の専門家は、これは、手動のコマンドアンドコントロール(C&C)命令を送信できる特定のシステムを引き継ぐために行われると考えています。
これは、APT15が過去に使用したパターンと一致します。 Intezerの代表者は、侵害された環境に最適に設計されたカスタマイズされたマルウェアコンポーネントを構築することは、いわばAPT15が通常ビジネスを行う方法であるとさえ述べています。
以前のツールは、マルウェアがリモートC&Cサーバーと通信できるように、InternetExplorerに存在するエクスプロイトを利用していました。影響を受けるプラットフォームのリストはまだ利用できませんが、この特定のマルウェアは非常に特殊化されているため、ほとんどの種類のエンドユーザーに脅威を与えることはないようです。
タグ マルウェア
