Il gruppo di hacker APT15 che è diventato ben noto per i suoi attacchi di alto profilo contro i militari degli Stati Uniti ha messo a punto un nuovo strumento di malware pericoloso chiamato MirageFox. Si ritiene che si tratta di una versione aggiornata di minacce rilasciati in precedenza. Una dettagliata analisi tecnica mostra che è in grado di infliggere un sacco di danni ai computer di destinazione.
Il MirageFox Malware è l'ultima arma usata dagli hacker APT15
Il gruppo di hacker APT15 è una delle organizzazioni criminali più noti che si ritiene di essere affiliato con il governo cinese. Nel corso degli anni sono stati avvistati di attaccare il governo e militari obiettivi principalmente di alto profilo che utilizzano sofisticati metodi di infezione. Altri obiettivi sono aziende multinazionali in settori come l'olio e simili. Un meccanismo di firma che impiegano è che hanno come bersaglio le applicazioni installate sui computer workstation. Una volta che la rete è stata violata useranno soluzioni personalizzate al fine di continuare gli attacchi.
Il malware MirageFox è stato scoperto da una firma ibrido che sembra contenere le firme di armi in passato dal gruppo ha. Gli analisti della sicurezza di notare che il nuovo strumento è programmato in modo da evitare la scoperta istante. I rating di rilevamento mostrano che la maggioranza dei software di sicurezza non può identificare come una firma di virus.
Un'analisi completa non è ancora disponibile, come gli analisti non sono stati in grado di catturare un campione completo di codice di MirageFox. I frammenti disponibili mostrare come la minaccia reagirà una volta che le infezioni iniziali sono fatte. Tuttavia dettagli su come esattamente le opere meccanismo non sono ancora disponibili.
Funzionalità MirageFox Malware
Le informazioni parziali che è disponibile per MirageFox dimostra che comprende diverse proprietà che consentono a quest'ultimo di infettare gli obiettivi a livello profondo. Le seguenti tattiche infezione sono confermate nei ceppi catturate:
- processo Collegamento - Il MirageFox si può collegare al sistema o mediante processi e servizi installati dall'utente. Questo lo rende molto utile quando la raccolta di dati sensibili sulle vittime e ai loro dati di input.
- Connessione server - Il malware MirageFox in grado di creare una connessione sicura a un server degli hacker controllato. Questo può essere utilizzato per segnalare le infezioni fatti, così come spiare le vittime in tempo reale. Utilizzando questo modulo gli hacker possono ottenere l'accesso ai computer delle vittime. Questo meccanismo è utile anche per la distribuzione di ulteriori minacce per i padroni di casa.
- Security bypass - Il malware MirageFox può essere programmato per superare software di sicurezza che possono interferire con la sua corretta esecuzione.
Un ulteriore controllo sugli esemplari catturati mostra che i server di hacker segnalati controllati si trovano sul server di rete interna. Questo porta gli esperti a ritenere che o il virus è stato specificamente realizzati rispetto agli obiettivi o che la connessione viene sottoposto a tunneling attraverso una VPN (rete privata virtuale).
Prevediamo che ulteriori rapporti sulle operazioni di APT15 saranno disponibili come il gruppo è noto per indirizzare le aziende e le agenzie che utilizzano diverse tattiche.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: