中國鐵虎APT又回來了，專門針對亞洲、美國政府及其它組織

中國APT

鐵虎

Bitdefender惡意軟體研究員已經發現並監控了幾個月密碼竊取、比特幣挖掘的定製後門活動，當然也是為了完全控制受害者的機器。

這個被Bitdefender稱為PZChao的運動，主要針對亞洲和美國的政府，科技，教育和電信組織。

「這也是定製惡意軟體的案例，我們已經監控了幾個月，因為它在亞洲造成嚴重破壞。我們的威脅情報系統在去年七月挑選出第一個受損目標，而且我們一直關注這個威脅。」BitDefender公布的這份報告說。

「這個威脅的一個有趣的特點，使我們團隊的分析面臨挑戰，它具有惡意子域網路，每個惡意子域名用於一個特定的任務（下載，上傳，RAT相關的行動，惡意軟體DLL傳遞）。功能也是多樣化的，包括下載和執行額外的二進位文件，收集私人信息和在系統上遠程執行命令的能力。「

專家分析了黑客使用的指揮、控制設施以及惡意代碼，推測APT鐵虎組織可能已經回來了。

鐵虎APT（又名熊貓使者或TG-3390）至少從2010年以來一直活躍在亞太地區，但2013年開始，它正在攻擊美國的高科技目標。

專家們發現PZChao行動中使用的Gh0stRat樣品與以前與鐵虎APT有關的活動中使用的樣品有許多相似之處。

PZChao行動背後的攻擊者利用惡意VBS文件附件以魚叉式網路釣魚信息為目標，一旦執行惡意VBS文件附件，惡意載荷將從分發伺服器下載到Windows系統。研究人員確定了伺服器的IP地址，位置在韓國「125.7.152.55」，並承載了「down.pzchao.com」網站。

專家強調，在攻擊的每個階段，新組件都會在目標系統上下載並執行。

專家們發現，第一個有效載荷落入受損系統的是比特幣礦工。

該礦工偽裝成一個「java.exe」文件，每三個星期在凌晨三點使用，以避免被發現，而挖掘加密貨幣可能是為了資助運動。

但不要忘記，PZChao行動的主要目標是網路間諜活動，惡意代碼利用Mimikatz工具的兩個版本從受感染主機收集憑據。

攻擊者的武器中最重要的組成部分仍然是強大的Gh0sT RAT惡意軟體，可以控制受感染系統的各個方面。

BitDefender總結道：「這種遠程訪問Torjan的間諜能力和從受害者那裡獲取大量情報，使其成為一個非常強大的工具，很難識別。」「在特洛伊木馬生命周期內，C&C輪換還有助於避免在網路級別上檢測到，而合法的已知應用程序的模擬則負責其他程序。」

*參考來源：SecurityAffairs，FB小編Andy編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！