中国APT铁虎又回来了,被PZChao行动称为新的战役,针对亚洲和美国的政府,科技,教育以及电信组织。
Bitdefender恶意软件研究员已经发现并监控了几个月密码窃取、比特币挖掘的定制后门活动,当然也是为了完全控制受害者的机器。
这个被Bitdefender称为PZChao的运动,主要针对亚洲和美国的政府,科技,教育和电信组织。
“这也是定制恶意软件的案例,我们已经监控了几个月,因为它在亚洲造成严重破坏。我们的威胁情报系统在去年七月挑选出第一个受损目标,而且我们一直关注这个威胁。”BitDefender公布的这份报告说。
“这个威胁的一个有趣的特点,使我们团队的分析面临挑战,它具有恶意子域网络,每个恶意子域名用于一个特定的任务(下载,上传,RAT相关的行动,恶意软件DLL传递)。功能也是多样化的,包括下载和执行额外的二进制文件,收集私人信息和在系统上远程执行命令的能力。“
专家分析了黑客使用的指挥、控制设施以及恶意代码,推测APT铁虎组织可能已经回来了。
铁虎APT(又名熊猫使者或TG-3390)至少从2010年以来一直活跃在亚太地区,但2013年开始,它正在攻击美国的高科技目标。
专家们发现PZChao行动中使用的Gh0stRat样品与以前与铁虎APT有关的活动中使用的样品有许多相似之处。
PZChao行动背后的攻击者利用恶意VBS文件附件以鱼叉式网络钓鱼信息为目标,一旦执行恶意VBS文件附件,恶意载荷将从分发服务器下载到Windows系统。研究人员确定了服务器的IP地址,位置在韩国“125.7.152.55”,并承载了“down.pzchao.com”网站。
专家强调,在攻击的每个阶段,新组件都会在目标系统上下载并执行。
专家们发现,第一个有效载荷落入受损系统的是比特币矿工。
该矿工伪装成一个“java.exe”文件,每三个星期在凌晨三点使用,以避免被发现,而挖掘加密货币可能是为了资助运动。
但不要忘记,PZChao行动的主要目标是网络间谍活动,恶意代码利用Mimikatz工具的两个版本从受感染主机收集凭据。
攻击者的武器中最重要的组成部分仍然是强大的Gh0sT RAT恶意软件,可以控制受感染系统的各个方面。
BitDefender总结道:“这种远程访问Torjan的间谍能力和从受害者那里获取大量情报,使其成为一个非常强大的工具,很难识别。”“在特洛伊木马生命周期内,C&C轮换还有助于避免在网络级别上检测到,而合法的已知应用程序的模拟则负责其他程序。”