MirageFox RAT

MirageFox RAT-Beschreibung

Die Ke3chang APT (Advanced Persistent Threat) ist eine berüchtigte Hackergruppe aus China, die weltweit für Schlagzeilen gesorgt hat. Die Cyber-Gauner hinter dem Ke3chang APT werden auch als APT15 bezeichnet. Der Ke3chang APT verfügt über eine umfangreiche Liste von Hacking-Tools, und eines davon ist der MirageFox RAT (Remote Access Trojan).

Die MirageFox RAT wird normalerweise als Nutzlast der zweiten Stufe verwendet. Die Bedrohung ermöglicht es der Ke3chang-Gruppe, eine Vielzahl von bedrohlichen Aufgaben auf dem kompromittierten Host auszuführen. Die MirageFox RAT kann insbesondere als langfristiges Aufklärungswerkzeug nützlich sein. Dieses Hacking-Tool ist in der Lage, gezielt Daten und Dateien vom infizierten Host abzugreifen sowie Änderungen an den Sicherheitseinstellungen des kompromittierten Systems vorzunehmen. Letzteres ist eine sehr nützliche Funktion, die es den Angreifern ermöglicht, zusätzliche Malware in den Ziel-PC einzuschleusen.

Die MirageFox RAT-Kopien scheinen eine hartcodierte IP-Adresse zu haben, die für einen C&C-Server (Command & Control) verwendet wird. Da MirageFox RAT als sekundäre Nutzlast verwendet wird, wird die Bedrohung außerdem basierend auf den Eigenschaften des anvisierten Hosts modifiziert – es ist offensichtlich, dass die Angreifer die Bedrohung manuell einsetzen. Die MirageFox RAT versucht nicht, auf dem infizierten PC Persistenz zu erlangen, da die Angreifer die Bedrohung jederzeit manuell starten können.

Die Hacking-Gruppe Ke3chang ist wahrscheinlich eine staatlich geförderte APT, was bedeutet, dass sie möglicherweise direkt aus Peking finanziert wird. Dieses APT zielt bekanntermaßen auf ausländische Regierungsbehörden sowie auf große Unternehmen ab, die in Schlüsselbranchen wie Energie, Militär, Luft- und Raumfahrt usw. tätig sind. Sie sind auch dafür bekannt, maßgeschneiderte Malware neben legitimer Software für ihre Operationen zu verwenden.