BitDefender发现网络间谍活动“PZChao” 称中国APT组织“熊猫使者”又回来了

“用指尖改变世界”

全球知名反病毒厂商比特梵德(BitDefender,简称BD)在最近公布了一份长达16页的研究分析报告,称其安全研究团队发现一起被称为“PZChao”的网络间谍活动,针对了亚洲和美国的政府、科技、教育和电信机构。

BitDefender在报告中写道:“活动运用了定制的恶意软件,我们已经对其进行了长达几个月时间的监控,因为它在亚洲造成了严重破坏。我们的威胁情报系统在去年7月份监测到了第一个妥协指标,而且我们一直关注这个威胁。”

恶意软件具有一个恶意子域网络,每个有效载荷都被用于特定任务(下载、上传、远程控制、恶意软件DLL传送等)。有效载荷是多样化的,包括下载和执行额外的二进制文件、收集受害者隐私和在系统上远程执行命令的能力。

根据攻击的本质,以及所使用的基础设施和有效载荷(包括Gh0st RAT木马的变种)。Bitdefender的研究人员得出结论,曾在2015年发起网络间谍活动“铁虎行动(Operation Iron Tiger)”的 中国APT组织“熊猫使者(Emissary Panda)”似乎又回来了。

APT组织“熊猫使者” (又名铁虎或TG-3390)至少自2010年以来一直活跃在亚太地区,但自2013年以来,它将攻击目标瞄准了美国的高科技企业。

Bitdefender的高级电子威胁分析师Bogdan Botezatu解释说:“虽然,我们只是推测,但有一点是可以肯定的,PZChao 活动中的恶意软件样本与铁虎使用的Gh0stRat样本非常相似。”

PZChao活动背后的团队利用恶意VBS文件作为附件并通过网络钓鱼电子邮件传播,一旦附件执行,恶意软件将从分发服务器下载到Windows系统。尽管IP地址显示来自韩国,但研究人员认为这可能是一个中转站,旨在误导调查。

无论这个服务器的具体位置在哪里,该服务器都承载着PZChao域,用于执行针对目标的不同阶段的攻击,其中一台服务器负责下载新组件以进行各种各样的恶意攻击。

虽然,这些有效载荷似乎主要是为网络间谍活动设计的,但其中一个有效载荷被发现是一个比特币矿工,伪装成一个“java.exe”文件。它每三个星期会在凌晨3点执行一次,这个时间段应该很少会有人注意到系统的性能下降,以保证挖矿活动的隐蔽性。研究人员认为,挖矿活动的主要目的很有可能是为间谍活动提供资金。

回到重点,PZChao活动的主要目标是网络间谍活动,恶意代码利用“密码抓取神器”Mimikatz的两个版本从受感染设备上收集密码,具体取决于系统的操作体系结构是x86还是x64。一旦收集成功,密码就会被上传到命令和控制(C&C)服务器。

恶意软件中最强大的组件包括Gh0st RAT木马的修改版本,该软件为攻击者提供了一个能够进入受感染系统的后门,甚至几乎可以完全控制受感染的系统。

Gh0sT RAT具有记录按键、劫持网络摄像头、通过麦克风远程监听、允许远程控制关机和重启主机、秘密监视、修改和删除文件以及检索所有活动进程列表等能力。

研究人员表示,Gh0sT RAT是一个功能齐全的网络间谍工具,尽管在多年前就已经被发现,但在拥有了众多“实战经历”之后,它表现出了仍然能够运用在网络间谍活动中的能力。

本文由黑客视界综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180206B081V300?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券