पूर्णांक लैब्स
APT15, एक सूचना क्रैकिंग समूह, जो संभवतः चीन में एक संगठन से जुड़ा हुआ है, ने एक नया मैलवेयर स्ट्रेन विकसित किया है जो शीर्ष सुरक्षा अनुसंधान फर्म इंटेज़र के दावा करने वाले विशेषज्ञों को पुराने टूल से कोड उधार लेता है। समूह कम से कम 2010-2011 से सक्रिय रहा है, और इसलिए इसमें कोड की एक बड़ी लाइब्रेरी है, जिसमें से ड्रा करना है।
चूंकि यह रक्षा और ऊर्जा लक्ष्यों के खिलाफ जासूसी अभियान चलाने के लिए जाता है, APT15 ने काफी उच्च प्रोफ़ाइल बनाए रखा है। मार्च में ब्रिटेन के सरकारी ठेकेदारों को हिट करने के लिए समूह के क्रैकर्स ने ब्रिटिश सॉफ़्टवेयर इंस्टॉलेशन में पिछले दरवाजे की कमजोरियों का इस्तेमाल किया।
उनके सबसे हालिया अभियान में कुछ ऐसा शामिल है जिसे सुरक्षा विशेषज्ञ मिराजफॉक्स कह रहे हैं, क्योंकि यह स्पष्ट रूप से 2012 के विंटेज टूल मिराज नामक उपकरण पर आधारित है। नाम मॉड्यूल में से एक में पाए जाने वाले स्ट्रिंग से आता है जो क्रैकिंग टूल को पावर करता है।
जैसा कि मूल मिराज हमलों ने कोड का उपयोग रिमोट शेल के साथ-साथ डिक्रिप्शन फ़ंक्शन बनाने के लिए किया था, इसका उपयोग सुरक्षित प्रणालियों पर नियंत्रण हासिल करने के लिए किया जा सकता है चाहे वे वर्चुअलाइज़ किए गए हों या नंगे धातु पर चल रहे हों। मिराज ने खुद भी मायवेब और बीएमडब्ल्यू जैसे साइबरबैट टूल के साथ कोड साझा किया था।
इन्हें भी APT15 का पता लगाया गया है। उनके नवीनतम उपकरण का एक नमूना DLL सुरक्षा विशेषज्ञों द्वारा 8 जून को संकलित किया गया था और फिर एक दिन बाद VirusTotal पर अपलोड किया गया था। इसने सुरक्षा शोधकर्ताओं को अन्य समान उपकरणों की तुलना करने की क्षमता दी।
MirageFox एक DLL से समझौता करने के लिए एक अन्यथा वैध McAfee निष्पादन योग्य फ़ाइल का उपयोग करता है और फिर मनमाना कोड निष्पादन की अनुमति देने के लिए इसे अपहरण कर लेता है। कुछ विशेषज्ञों का मानना है कि यह विशिष्ट प्रणालियों को संभालने के लिए किया जाता है जो मैनुअल कमांड और नियंत्रण (सी एंड सी) निर्देशों को तब प्रेषित किया जा सकता है।
यह उस पैटर्न से मेल खाएगा जो APT15 अतीत में इस्तेमाल किया गया था। इंटेज़र के एक प्रतिनिधि ने यहां तक कहा है कि समझौता किए गए माहौल के अनुरूप तैयार किए गए अनुकूलित मैलवेयर घटकों का निर्माण करना आम तौर पर एपीटी 15 कैसे व्यापार करता है, इसलिए बोलना है।
पिछले उपकरण इंटरनेट एक्सप्लोरर में मौजूद एक शोषण का उपयोग करते थे ताकि मैलवेयर रिमोट सी और सी सर्वर के साथ संवाद कर सके। जबकि प्रभावित प्लेटफार्मों की एक सूची अभी तक उपलब्ध नहीं है, यह प्रतीत होता है कि यह विशिष्ट मैलवेयर बहुत विशिष्ट है और इसलिए यह अधिकांश प्रकार के अंत-उपयोगकर्ताओं के लिए खतरा पैदा नहीं करता है।
टैग मैलवेयर
