最新發現與中國有關聯的黑客組織APT15,也被稱為 Ke3chang, Mirage, Vixen Panda, Royal APT, Playful Dragon,近日在中國境外基於之前的黑客工具開發出了新版惡意軟件。該組織的黑客工具是大多數網絡安全公司產品攔截的主要目標,其中包括Mirage, BS2005, RoyalCLI, RoyalDNS, TidePool, BMW, MyWeb。該組織的攻擊目標主要集中在國防部門、高科技領域、能源、政府機構、航空領域、製造業等。
最近一次該黑客組織的攻擊行為發生在去年針對NCC集團的英國用戶,NCC集團為英國政府提供了大量的信息服務,那次的攻擊目的是為了獲取政府部門和軍事部門的資料信息。之後NCC集團針對網絡安全進行升級時發現了該黑客組織的2款新型後門程序:RoyalCLI和RoyalDNS。
另一家網絡安全公司Intezer上週還發現了該黑客組織根據YARA規則編寫的Mirage惡意軟件變種,被稱為MirageFox,還有Reaver惡意軟件,兩者間共享了軟件代碼。
MirageFox的工作機制是,首先收集受感染電腦的信息,例如用戶名、CPU信息、系統架構等,接著將這些信息傳輸到遠程服務器,然後在主機上打開後門程序,等待遠程服務器的相關指令,例如修改文件、開啟/結束進程等。目前還不得知此次的MirageFox是如何進行傳播的,從目前掌握的證據看,該惡意軟件濫用了McAfee的一個二進制文件,通過DLL文件劫持加載惡意進程。
這次還注意到遠程服務器上的IP地址是一個內網的IP地址,由此可以確定攻擊行為針對的是機構的內部網絡,黑客使用VPN進入機構的內網後獲取了相關權限,結合最近美國海軍被中國政府贊助的黑客入侵併竊取了敏感數據,很有可能這次的攻擊行為也和中國政府有關。
http://www.wttech.org/
閱讀更多 WTT資訊 的文章
