歡迎光臨
每天分享高質量文章

【每日安全資訊】中國鐵虎APT又回來了,專門針對亞洲、美國政府及其它組織

中國APT鐵虎又回來了,被PZChao行動稱為新的戰役,針對亞洲和美國的政府,科技,教育以及電信組織。

Bitdefender惡意軟體研究員已經發現並監控了幾個月密碼竊取、比特幣挖掘的定製後門活動,當然也是為了完全控制受害者的機器。

這個被Bitdefender稱為PZChao的運動,主要針對亞洲和美國的政府,科技,教育和電信組織。

“這也是定製惡意軟體的案例,我們已經監控了幾個月,因為它在亞洲造成嚴重破壞。我們的威脅情報系統在去年七月挑選出第一個受損標的,而且我們一直關註這個威脅。”BitDefender公佈的這份報告說。

“這個威脅的一個有趣的特點,使我們團隊的分析面臨挑戰,它具有惡意子域網路,每個惡意子域名用於一個特定的任務(下載,上傳,RAT相關的行動,惡意軟體DLL傳遞)。功能也是多樣化的,包括下載和執行額外的二進位制檔案,收集私人資訊和在系統上遠端執行命令的能力。“

專家分析了駭客使用的指揮、控制設施以及惡意程式碼,推測APT鐵虎組織可能已經回來了。

鐵虎APT(又名熊貓使者或TG-3390)至少從2010年以來一直活躍在亞太地區,但2013年開始,它正在攻擊美國的高科技標的。

專家們發現PZChao行動中使用的Gh0stRat樣品與以前與鐵虎APT有關的活動中使用的樣品有許多相似之處。

PZChao行動背後的攻擊者利用惡意VBS檔案附件以魚叉式網路釣魚資訊為標的,一旦執行惡意VBS檔案附件,惡意載荷將從分發伺服器下載到Windows系統。研究人員確定了伺服器的IP地址,位置在韓國“125.7.152.55”,並承載了“down.pzchao.com”網站。

專家強調,在攻擊的每個階段,新元件都會在標的系統上下載並執行。

專家們發現,第一個有效載荷落入受損系統的是比特幣礦工。

該礦工偽裝成一個“java.exe”檔案,每三個星期在凌晨三點使用,以避免被髮現,而挖掘加密貨幣可能是為了資助運動。

但不要忘記,PZChao行動的主要標的是網路間諜活動,惡意程式碼利用Mimikatz工具的兩個版本從受感染主機收集憑據。

攻擊者的武器中最重要的組成部分仍然是強大的Gh0sT RAT惡意軟體,可以控制受感染系統的各個方面。

BitDefender總結道:“這種遠端訪問Torjan的間諜能力和從受害者那裡獲取大量情報,使其成為一個非常強大的工具,很難識別。”“在特洛伊木馬生命週期內,C&C;輪換還有助於避免在網路級別上檢測到,而合法的已知應用程式的模擬則負責其他程式。”

*參考來源:SecurityAffairs,FB小編Andy編譯,來自FreeBuf.COM

更多資訊

◈ 荷蘭情報機構掌握了俄對美大選網路攻擊的關鍵證據!?

http://t.cn/R8E7q2d

◈ 美國未來可能用核武器對付網路攻擊

http://t.cn/R8E7cFY

◈ 《絕地求生》1月封禁作弊人數超百萬:佔去年總數三分之二

http://t.cn/R8E7f4o

◈ 跑步App成監考工具 有學生破解軟體改分

http://t.cn/R8E7IX0

(資訊來源於網路,安華金和蒐集整理)


贊(0)

分享創造快樂