最新发现与中国有关联的黑客组织APT15,也被称为 Ke3chang, Mirage, Vixen Panda, Royal APT, Playful Dragon,近日在中国境外基于之前的黑客工具开发出了新版恶意软件。该组织的黑客工具是大多数网络安全公司产品拦截的主要目标,其中包括Mirage, BS2005, RoyalCLI, RoyalDNS, TidePool, BMW, MyWeb。该组织的攻击目标主要集中在国防部门、高科技领域、能源、政府机构、航空领域、制造业等。
最近一次该黑客组织的攻击行为发生在去年针对NCC集团的英国用户,NCC集团为英国政府提供了大量的信息服务,那次的攻击目的是为了获取政府部门和军事部门的资料信息。之后NCC集团针对网络安全进行升级时发现了该黑客组织的2款新型后门程序:RoyalCLI和RoyalDNS。
另一家网络安全公司Intezer上周还发现了该黑客组织根据YARA规则编写的Mirage恶意软件变种,被称为MirageFox,还有Reaver恶意软件,两者间共享了软件代码。
MirageFox的工作机制是,首先收集受感染电脑的信息,例如用户名、CPU信息、系统架构等,接着将这些信息传输到远程服务器,然后在主机上打开后门程序,等待远程服务器的相关指令,例如修改文件、开启/结束进程等。目前还不得知此次的MirageFox是如何进行传播的,从目前掌握的证据看,该恶意软件滥用了McAfee的一个二进制文件,通过DLL文件劫持加载恶意进程。
这次还注意到远程服务器上的IP地址是一个内网的IP地址,由此可以确定攻击行为针对的是机构的内部网络,黑客使用VPN进入机构的内网后获取了相关权限,结合最近美国海军被中国政府赞助的黑客入侵并窃取了敏感数据,很有可能这次的攻击行为也和中国政府有关。
http://www.wttech.org/
閱讀更多 WTT資訊 的文章
