Intezer公司的高级安全研究员Jay Rosenberg在近日指出，该公司的安全团队发现了关于一个被称为APT15的黑客组织近期活动的证据，该组织被认为来自中国。最近这一活动中涉及的恶意软件MirageFox似乎是一个旧工具的升级版，据信这个RAT是在2012年开发的，被称为Mirage。
APT15被认为长期针对众多位于不同国家的公司和组织进行网络间谍活动，同时也针对了不同的行业，如石油行业、政府承包商、军队等等。他们以“living off the land”而闻名，这意味着他们使用已安装在受感染计算机上的工具和软件来进行操作。一旦进入目标网络，他们就会根据目标量身定制恶意软件。该组织其他的名字还有Vixen Panda、Ke3chang、Royal APT和Playful Dragon。
网上有很多关于APT15及其活动的文章和研究，最近的文章和研究来自NCC Group。虽然发布于2018年3月，但它分析的是2017年的一起活动。此外，尽管2017年的活动已经被记录在案，但在Intezer团队关于MirageFox的研究中，发现了一个最近上传的二进制文件（2018年6月8日）与NCC Group文章中提到的RAT非常相似。在VirusTotal上的66款防病毒软件中，仅有7款（7/66）将它检测出来。
 
APT15代码重用
Rosenberg指出，他们在VirusTotal狩猎时发现了这个新版本的RAT，这是他们根据仅在 Mirage和Reaver中发现的代码创建的YARA签名，而这两个恶意软件都归因于APT15。鉴于这些二进制文件是最近才上传到VirusTotal的，并且很少被检测到，Intezer团队决定使用Intezer Analyze™分析它们，看看是否可以找到任何代码重用。

（https://analyze.intezer.com/#/analyses/d00b6787-0078-4148-aec3-a66779a22ba5）
在这个代码重用分析报告（SHA256：28d6a9a709b9ead84aece250889a1687c07e19f6993325ba5295410a478da30a）中可以看到，Mirage和Reaver共享代码。编辑时间戳是从2018年6月8日开始的，而上传到VirusTotal的日期是2018年6月9日。

（VirusTotal）
在VirusTotal上，我们可以看到，只有10/66检测出这个二进制文件，11/66检测出MirageFox的另一个类似版本（SHA256：97813e76564aa829a359c2d12c9c6b824c532de0fc15f43765cf6b106a32b9a5），9/64检测出已上传的第三个MirageFox二进制文件（SHA256：b7c1ae10f3037b7645541acb9f7421312fb1e164be964ee7acd6eb1299d6acb2）。
以下是在Mirage家族中发现的几个代码重用相似点的例子，它们分别出现在较新的二进制文件和较旧的二进制文件中。
 
Remote Shell

上述功能在Mirage家族的许多二进制文件中都可以看到，并且在C＆C发送命令时执行。它负责在cmd.exe中执行命令（稍后在函数中执行，在屏幕截图中没有显示，它查找cmd.exe并使用CreateProcessA执行）。
 
配置解密
上图中另一个很小但同样重要的函数，用于解密包含C＆C配置的数据。与Palo Alto发布的Reaver类似，它会获取C＆C服务器的IP或域、端口、二进制文件的名称、休眠计时器，以及Palo Alto所称的“campaign identifier”。
 
技术细节
此时，我们还无法检索原始感染媒介和其他有关APT15组织用于攻击其目标的其他工具的信息。不过，我们能够对这里发生的事情得出一些非常有趣的结论，尽管我们不能在没有完整上下文的情况下确定具体情况是怎样的。
首先，之所以将其命名为MirageFox而不是Mirage，是因为在模块的Export目录中，name字段被字符串MirageFox_Server.dat填充。

 
显然，在截图中，你可以看到有一个导出的函数。MirageFox二进制文件导出一个名为dll_wWinMain的函数，它是在vsodscpl.dll中导出的名称，这是一个由McAfee提供的模块，由一些导入和调用此函数的可执行文件加载。这很可能意味着存在某种类型的DLL劫持，通过使用MirageFox分发合法的McAfee二进制文件，将DLL正确地加载到一个合法的查找进程中。这种DLL劫持技术在APT15过去的活动中已经出现过。这里的问题是，一旦第一次调用导出，模块将自身重命名为sqlsrver.dll，并且在模块内没有任何证据表明存在任何类型的持久性。通过这个重命名，RAT之后的执行将不会通过McAfee二进制文件。之后的持久性可以通过恶意软件的另一个组件，甚至由C＆C发送到受感染计算机的命令来设置。
最有趣的部分是解密的C＆C配置，如下图所示。

 
解密配置
C＆C IP：192.168.0.107
端口：80
休眠定时器：30000
Campaign Identifier：Mirage
如果你查看解密配置，你可能会注意到用于C＆C的IP是内部IP地址。上述提到的NCC Group文章的文章指出，APT15会在窃取到VPN私钥后再次渗入组织。因此，我们可以假设该版本是APT15针对已经渗入并通过VPN连接到其内部网络的组织量身定制的。

MirageFox的其余功能类似于APT15以前创建的恶意软件，首先是收集有关计算机的信息，如用户名、CPU信息、体系结构等。然后将这些信息发送给C＆C，打开一个后门，并等待来自C＆C的命令。这些命令可能包括修改文件、启动进程、终止自身以及在APT15 RAT中通常会看到的更多功能。