مختبرات إنتيزر
طورت APT15 ، وهي مجموعة لاختراق المعلومات التي من المحتمل أن تكون مرتبطة بإحدى المنظمات في الصين ، سلالة جديدة من البرامج الضارة التي يدعي خبراء أمن المعلومات من شركة الأبحاث الأمنية العليا Intezer استعارة التعليمات البرمجية من الأدوات القديمة. كانت المجموعة نشطة منذ 2010-2011 على الأقل ، وبالتالي لديها مكتبة كبيرة إلى حد ما من التعليمات البرمجية يمكن الاعتماد عليها.
نظرًا لأنه يميل إلى شن حملات تجسس ضد أهداف الدفاع والطاقة ، فقد حافظت APT15 على مكانة عالية إلى حد ما. استخدمت برامج تكسير من المجموعة ثغرات أمنية في الأبواب الخلفية في منشآت البرامج البريطانية لضرب المقاولين الحكوميين في المملكة المتحدة في مارس.
تتضمن حملتهم الأخيرة شيئًا يسميه خبراء الأمن MirageFox ، نظرًا لأنها تستند على ما يبدو إلى أداة قديمة لعام 2012 تسمى Mirage. يبدو أن الاسم يأتي من سلسلة موجودة في إحدى الوحدات النمطية التي تشغل أداة التكسير.
نظرًا لأن هجمات Mirage الأصلية استخدمت التعليمات البرمجية لإنشاء غلاف بعيد بالإضافة إلى وظائف فك التشفير ، فيمكن استخدامه للتحكم في الأنظمة الآمنة بغض النظر عما إذا كانت افتراضية أو تعمل على نظام معدني. شاركت Mirage نفسها أيضًا التعليمات البرمجية مع أدوات الهجوم الإلكتروني مثل MyWeb و BMW.
تم إرجاع هذه أيضًا إلى APT15. تم تجميع عينة من أحدث أدواتهم بواسطة خبراء أمان DLL في 8 يونيو ثم تحميلها على VirusTotal في اليوم التالي. أعطى هذا للباحثين الأمنيين القدرة على مقارنتها بأدوات أخرى مماثلة.
يستخدم MirageFox ملف McAfee القابل للتنفيذ الشرعي لخرق DLL ثم خطفه للسماح بتنفيذ تعليمات برمجية عشوائية. يعتقد بعض الخبراء أن هذا يتم لتولي أنظمة محددة يمكن بعد ذلك نقل تعليمات القيادة والتحكم اليدوية (C&C) إليها.
يتطابق هذا مع النمط الذي استخدمته APT15 في الماضي. صرح ممثل من Intezer حتى أن إنشاء مكونات برامج ضارة مخصصة مصممة لتناسب البيئة المعرضة للخطر هو الطريقة التي يعمل بها APT15 عادةً ، إذا جاز التعبير.
استخدمت الأدوات السابقة ثغرة موجودة في Internet Explorer بحيث يمكن للبرامج الضارة الاتصال بخوادم القيادة والتحكم عن بُعد. على الرغم من عدم توفر قائمة بالأنظمة الأساسية المتأثرة حتى الآن ، يبدو أن هذا البرنامج الضار المحدد متخصص جدًا وبالتالي لا يبدو أنه يمثل تهديدًا لمعظم أنواع المستخدمين النهائيين.
العلامات البرمجيات الخبيثة
