Malware MirageFox de APT China

El grupo de ciberespionaje APT15 afiliado al gobierno chino esta involucrado con la nueva campaña de malware MirageFox para atacar varios sectores, incluidos los contratistas del gobierno, la base militar y otras industrias privadas de todo el mundo.

El investigador cree que esta nueva campaña de malware sofisticada es reutilizar el código de la herramienta avanzada de acceso remoto llamada Mirage, que es una actividad que ataca a varios sectores desde 2012.

Este grupo APT15 mejor conocido como "vivir de la tierra", lo que significa que están usando herramientas ya disponibles y software avanzado para infiltrarse en la computadora de la víctima e infectar con malware.

Además, este atacante involucra varios ataques cibernéticos usando diferentes nombres como Vixen Panda, Ke3chang, Royal APT y Playful Dragon.

Además, el investigador sospecha que podría ser posible. APT15 fue responsable de hackear al contratista de la Marina de los EE.UU.

La campaña de malware MirageFox está usando otras dos versiones del código RAT llamadas Mirage y Reaver, que también se atribuyen a grupos afiliados al gobierno chino.

Ambos binarios se cargaron recientemente en virustotal, que contiene pocos resultados de detección y ambos se cargaron bastante a menudo el 8 de junio y el 9 de junio de 2018.

Se realizaron análisis adicionales con Analyzer Analyze para ver si podíamos encontrar la reutilización de los códigos.

Según Intezer, en VirusTotal, podemos ver que solo hay 10/66 detecciones para este binario, 11/66 para otra versión similar de MirageFox (SHA256: 97813e76564aa829a359c2d12c9c6b824c532de0fc15f43765cf6b106a32b9a5) y 9/64 para el tercer binario de MirageFox que se cargó (SHA256) : b7c1ae10f3037b7645541acb9f7421312fb1e164be964ee7acd6eb1299d6acb2).

No estaba claro sobre las herramientas utilizadas por este grupo APT15, el vector de infección original y otra información relativa.

Los investigadores denominaron a esta campaña como MirageFox, que se toma de la cadena que se encontró en el código y que se reutiliza de Mirage y Reaver.

Además, esta versión se conectó a través del servidor de comando y control al infiltrarse en la red interna de la organización objetivo y conectarse a su red interna mediante VPN.

"Finalmente, recopila la información incluyendo nombre de usuario, información de CPU, arquitectura, envía esta información a C & C, abre una puerta trasera y espera órdenes de C & C con funcionalidades tales como modificación de archivos, inicio de procesos, terminación y más funcionalidad que se ve típicamente en las RAT de APT15 ", dijo Intezer.

Semrush sigue a tu competencia


Fecha actualización el 2018-06-19. Fecha publicación el 2018-06-19. Categoria: malware. Autor: Oscar olg Mapa del sitio Fuente: gbhackers
malware