یک گروه جاسوسی سایبری چینی، بدافزار جدیدی را توسعه داده است که بهنظر میرسد بر اساس یکی از اولین ابزارهای مورد استفاده توسط این عامل تهدیدکننده میباشد. این عامل تهدیدکننده به نامهای APT15، Ke3chang، Mirage، Vixen Panda، Royal APT و Dragon Playful شناخته شده و ابزارهای آن تحت عناوین Mirage، BS2005، RoyalCLI، RoyalDNS، TidePool، BMW و MyWeb توسط شرکتهای سایبری مختلف ردیابی میشوند. این گروه به هدف قرار دادن سازمانها در حوزههای دفاعی، فنآوری، انرژی، دولتی، هوا فضا، تولیدی و سایر بخشها شناخته شده است.
یکی از حملات اخیر APT15 که سال گذشته کشف شد، زمانی بود که نفوذگران یکی از مشتریان انگلیسی گروه NCC را هدف قرار داده بودند. این سازمان که خدمات بسیاری را به دولت انگلیس ارائه میدهد، معتقد است که مهاجمان ممکن است از طریق مشتری آنها، سازمانهای دولتی و فناوری نظامی را هدف قرار داده باشند. NCC در آن زمان متوجه شد که این گروه ابزارها و تکنیکهای خود را بهبود داده است. این شرکت دو دربِ پشتی جدید را که توسط APT15 استفاده میشد، از جمله RoyalCLI، بهعنوان جایگزین BS2005 و RoyalDNS را کشف کرد.
Intezer که یک شرکت امنیتی سایبری متخصص در شناخت استفادهی مجدد از کد است، هفتهی گذشته گزارش کرد که بدافزار جدیدی را مرتبط با APT15 و بر اساس قوانین YARA که برای Mirage و Reaver ایجاد شده بود، کشف کرده است. Mirage قدیمیترین ابزار مورد استفاده توسط این عامل تهدیدکننده بوده و Reaver، یکی دیگر از بدافزارهایی است که پیش از این توسط محققان به گروههای چینی نسبت داده شده است.
این بدافزار جدید که توسط Intezer، MirageFox نامیده شده است، مبتنی بر یک رشتهی یافت شده در مولفهها بوده و کد را با بدافزارهای Mirage و Reaver به اشتراک میگذارد. کارشناسان شباهتهای زیادی را میان بدافزارهای MirageFox و Mirage پیدا کردهاند که از جملهی آنها میتوان به کد استفاده شده برای پوستهی راه دور و توابع مورد استفاده برای رمزگشایی دادههای تنظیمات سرور دستور و کنترل اشاره کرد.
جی روزنبرگ، محقق ارشد امنیتی Intezer توضیح میدهد: «توابع مورد استفاده توسط MirageFox مشابه با بدافزارهای قبلی ایجاد شده توسط APT15 میباشد. بدافزار در ابتدا اطلاعاتی را در مورد کامپیوتر مانند نام کاربری، اطلاعات پردازنده، معماری و غیره جمعآوری میکند. سپس این اطلاعات را به سرور دستور و کنترل ارسال میکند، یک دربِ پشتی باز کرده و منتظر دستوراتی از سرور دستور و کنترل با قابلیتهایی مانند تغییر فایلها، راهاندازی عملیاتها، پایان دادن به خود و قابلیتهای بیشتری که معمولا در RATهای مرتبط با گروه APT15 مشاهده میشوند، میماند.»
نمونهی تحلیل شده توسط این شرکت امنیتی در تاریخ ۸ ژوئن گردآوری شده و یک روز بعد، بر روی VirusTotal آپلود شد. با اینکه هنوز مشخص نیست بدافزار MirageFox چگونه میان قربانیان توزیع شده است، Intezer مشاهدات جالبی را در مورد آن داشته است. بهنظر میرسد که این بدافزار از یک باینری قانونی McAfee برای بارگیری فرایندهای مخرب از طریق ربودن DLL بهرهبرداری میکند. گروه APT15 به استفاده از ربودن DLL در پویشهای خود شناخته میشود.
Intezer همچنین متوجه شد که سرور دستورر و کنترل دارای یک آدرس IP داخلی است که نشان میدهد این نمونه بهطور خاص برای سازمانهای هدف پیکربندی شده و همانند حملهای که اوایل سال جاری توسط گروه NCC توصیف شد، مهاجمان با استفاده از یک VPN، به شبکهی داخلی قربانی دسترسی پیدا میکنند. Intezer اشاره کرد که کشف بدافزار MirageFox با گزارشهای مربوط به حملهی صورت گرفته توسط نفوذگران چینی و با هدف سرقت اطلاعات حساس پیمانکار نیروی دریایی آمریکا، همزمان بوده است. هنوز ارتباطی میان این دو رویداد مشخص نشده است.
درحالیکه در گزارشهای پیشین منتشر شده در مورد گروه APT15 ادعا میشود که این گروه حدودا از سال ۲۰۱۰ میلادی فعالیت داشته است، روزنبرگ آخر هفته اعلام کرد که یک نمونه آپلود شده از Mirage بر روی VirusTotal در سال ۲۰۰۹ میلادی را شناسایی کرده است. روزنبرگ همچنین یادآور شد که Mirage کدها را با سایر بدافزارهای مرتبط با گروه APT15، از جمله BMW، BS2005 و بهویژه MyWeb، به اشتراک میگذارد. بههمین دلیل این متخصص معتقد است که توسعهدهندگان بدافزار APT15، ممکن است Reaver را نیز ایجاد کرده باشند.
