Makmal intezer
APT15, kumpulan pemecah maklumat yang mungkin ada kaitan dengan organisasi di China, telah mengembangkan ketegangan malware baru yang pakar infosec dari firma penyelidikan keselamatan tertinggi Intezer menuntut pinjam kod dari alat lama. Kumpulan ini telah aktif sejak sekurang-kurangnya 2010-2011, dan oleh itu ia mempunyai pustaka kod yang cukup besar untuk digunakan.
Oleh kerana cenderung melakukan kempen pengintipan terhadap sasaran pertahanan dan tenaga, APT15 telah mempertahankan profil yang cukup tinggi. Keropok dari kumpulan itu menggunakan kerentanan pintu belakang dalam pemasangan perisian Britain untuk memukul kontraktor kerajaan Inggeris pada bulan Mac.
Kempen terbaru mereka melibatkan sesuatu yang disebut oleh pakar keselamatan MirageFox, kerana ia berdasarkan pada alat vintaj 2012 yang disebut Mirage. Nama itu berasal dari rentetan yang terdapat di salah satu modul yang menggerakkan alat retak.
Oleh kerana serangan Mirage yang asli menggunakan kod untuk membuat shell jauh serta fungsi penyahsulitan, ia dapat digunakan untuk mendapatkan kawalan sistem yang aman tanpa mengira sama ada ia virtual atau berjalan pada logam kosong. Mirage sendiri juga berkongsi kod dengan alat serangan siber seperti MyWeb dan BMW.
Ini juga telah dikesan ke APT15. Contoh alat terbaru mereka dikumpulkan oleh pakar keselamatan DLL pada 8 Jun dan kemudian dimuat naik ke VirusTotal sehari kemudian. Ini memberikan kemampuan penyelidik untuk membandingkannya dengan alat serupa yang lain.
MirageFox menggunakan fail McAfee yang boleh dilaksanakan yang sah untuk menjejaskan DLL dan kemudian merampasnya untuk membolehkan pelaksanaan kod sewenang-wenangnya. Sebilangan pakar percaya bahawa ini dilakukan untuk mengambil alih sistem tertentu yang arahan dan kawalan manual (C&C) kemudian dapat dihantar.
Ini sesuai dengan corak yang digunakan APT15 pada masa lalu. Seorang wakil dari Intezer bahkan menyatakan bahawa membina komponen perisian hasad yang direka untuk paling sesuai dengan persekitaran yang dikompromikan adalah bagaimana APT15 biasanya menjalankan perniagaan.
Alat sebelumnya menggunakan eksploitasi yang ada di Internet Explorer sehingga malware dapat berkomunikasi dengan pelayan C&C jauh. Walaupun senarai platform yang terjejas belum tersedia, nampaknya perisian hasad khusus ini sangat khusus dan oleh itu nampaknya tidak menimbulkan ancaman bagi kebanyakan jenis pengguna akhir.
Teg perisian hasad
![[FIX] Tidak Dapat Melancarkan LOTRO pada Windows 10](https://jf-balio.pt/img/how-tos/27/cannot-launch-lotro-windows-10.jpg)
