• 發布單位:TWCERT/CC
• 更新日期:2020-05-28
• 點閱次數:775

1.安全研究人員發現一起被稱為「PZChao」的網路間諜活動，針對了亞洲和美國的政府、科技、教育和電信機構。在過去的幾個月裡在亞洲造成嚴重破壞，並且能夠執行令人討厭的任務，比如密碼竊取，比特幣挖礦以及為駭客進行遠端控制。

研究人員認為，在PZChao攻擊中使用的Gh0stRAT木馬讓人聯想起中國駭客組織-鐵虎。PZChao活動背後的團隊利用惡意VBS文件作為附件並通過網路釣魚電子郵件傳播，一旦附件執行，惡意軟體將從分發伺服器下載到Windows系統。儘管IP位址顯示來自北韓，但研究人員認為這可能是一個中轉站，旨在誤導調查。
惡意軟體具有一個惡意子域網路，每個有效載荷都被用於特定任務（下載、上傳、遠程控制、惡意軟體DLL傳送等）。有效載荷是多樣化的，包括下載和執行額外的二進位文件、收集受害者隱私和在系統上遠程執行命令的能力。
這些有效載荷似乎主要是為網路間諜活動設計的，但其中一個被發現的有效載荷是一個比特幣礦工，偽裝成一個「java.exe」文件。它每三個星期會在凌晨3點執行一次，這個時段應該很少會有人注意到系統的性能下降。研究人員認為，挖礦活動的主要目的很有可能是為間諜活動提供資金。
PZChao活動的主要目標是網路間諜活動，惡意代碼利用「密碼抓取神器」Mimikatz的兩個版本從受感染設備上收集密碼，具體取決於操作的系統是x86還是x64。一旦收集成功，密碼就會被上傳到命令和控制（C&C）伺服器。活動中的惡意軟體樣本與鐵虎APT使用的Gh0stRat樣本非常相似。
惡意軟體中最強大的組件包括Gh0st RAT木馬的修改版本，該軟體為攻擊者提供了一個能夠進入受感染系統的後門，甚至幾乎可以完全控制受感染的系統。
Gh0sT RAT具有記錄鍵盤、劫持網路攝影機、通過麥克風遠程監聽、允許遠程控制關機和重啟主機、秘密監視、修改和刪除文件以及檢索所有活動進程列表等能力。
研究人員表示，Gh0sT RAT是一個功能齊全的網路間諜工具，儘管在多年前就已經被發現，但在擁有了眾多「實戰經歷」之後，它表現出了仍然能夠運用在網路間諜活動中的能力。

參考連結：

https://thehackernews.com/2018/02/cyber-espionage-asia.html
https://ipkk.com/zh-tw/read/343062.html
https://read01.com/dEedoMo.html#.WoJByq6WaUk