El grupo de hackers APT15, que se hizo muy conocido por su alto perfil contra los ataques militares de los EEUU ha desarrollado una nueva herramienta de software malicioso peligrosa llamada MirageFox. Se cree que se trata de una versión actualizada de las amenazas publicadas hasta la fecha. Un análisis técnico detallado muestra que es capaz de causar mucho daño a los equipos de destino.
El MirageFox malware es la última arma utilizada por los hackers APT15
El grupo de hackers APT15 es una de las organizaciones criminales más conocidos que se crea que esté afiliado con el gobierno chino. A través de los años han sido vistos y atacar objetivos gubernamentales y militares, principalmente de alto perfil utilizando sofisticados métodos de infección. Otros objetivos incluyen compañías multinacionales en industrias como el petróleo y similares. Un mecanismo de firma que emplean es que se dirigen a las aplicaciones instaladas en los equipos de estaciones de trabajo. Una vez que la red ha sido violada van a utilizar soluciones personalizadas con el fin de continuar los ataques.
El software malicioso MirageFox fue descubierto por una firma híbrido que parece tener las firmas de las armas utilizadas por los anteriores que el grupo. Los analistas de seguridad, tenga en cuenta que la nueva herramienta está programado de manera que se evite el descubrimiento instantánea. Las calificaciones de detección muestran que una mayoría del software de seguridad no puede identificarlo como una firma de virus.
Un análisis completo todavía no está disponible como los analistas no fueron capaces de capturar una muestra completa de código de MirageFox. Los fragmentos disponibles mostrar cómo reaccionará la amenaza una vez que las infecciones iniciales se hacen. Sin embargo detalles sobre cómo funciona el mecanismo exacto aún no están disponibles.
Capacidades MirageFox malware
La información parcial que está disponible para MirageFox muestra que incluye varias propiedades que le permiten infectar los objetivos en un nivel profundo. Los siguientes tácticas de infección se confirman en las cepas capturados:
- Conexión proceso - El MirageFox puede enganchar en sí a cualquiera de los sistemas o procesos y servicios instalados por el usuario. Esto hace que sea muy útil cuando se recolectan los datos sensibles sobre las víctimas y sus datos de entrada.
- Conexión al servidor - El malware MirageFox puede crear una conexión segura a un servidor pirata informático controlado. Esto puede ser usado para informar de los hechos infecciones, así como espiar a las víctimas, en tiempo real. El uso de este módulo los piratas informáticos pueden obtener acceso a los ordenadores de los usuarios. Este mecanismo también es útil para el despliegue de amenazas adicionales para los anfitriones.
- derivación de seguridad - El malware MirageFox se puede programar para superar software de seguridad que puede interferir con su correcta ejecución.
Una inspección más sobre las muestras capturadas muestra que los servidores de hackers controlado reportados son encontrados en los servidores de la red interna. Esto lleva a los expertos a creer que, o bien el virus se ha hecho específicamente en contra de los objetivos o que la conexión está siendo un túnel a través de una VPN (red privada virtual).
Anticipamos que más informes sobre las operaciones de APT15 estarán disponibles a partir del grupo se sabe que se dirigen las empresas y organismos que utilizan diferentes tácticas.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: