网络间谍组织用比特币挖掘恶意软件攻击亚洲国家

安全研究人员发现了一个定制的恶意软件，该软件在过去几个月在亚洲肆虐，能够执行密码窃取、比特币挖掘等恶劣任务，并为黑客提供对受损系统的完全远程访问。

PZCHAO行动，Bitdefender的安全研究人员发现，攻击活动的目标是亚洲和美国政府、技术、教育和电信部门的组织。

研究人员认为，PZhao攻击中使用的性质、基础设施和有效载荷，包括Gh0stRAT特洛伊木马的变种，让人想起臭名昭著的中国黑客组织—；铁虎.

然而，这场运动的有效载荷已经演变为投放特洛伊木马、进行网络间谍活动和挖掘比特币加密货币。

PZhao战役正在亚洲和美国各地攻击目标，使用与铁虎类似的攻击策略，据研究人员称，这意味着臭名昭著的中国APT集团可能回归。

至少从去年7月开始，PZhao的活动就一直针对带有恶意VBS文件附件的组织，该附件通过针对性很强的钓鱼电子邮件发送。

如果执行，VBS脚本将从承载“0”的分发服务器向受影响的Windows计算机下载额外的有效载荷趴下。赵。具有“，在调查时解析为韩国的IP地址（125.7.152.55）。

攻击活动背后的威胁参与者至少控制了“网络”的五个恶意子域赵。具有“域，每个域都用于服务特定任务，如下载、上载、与RAT相关的操作、恶意软件DLL交付。

威胁参与者部署的有效载荷是“多样化，包括下载和执行额外二进制文件、收集私人信息和远程执行系统命令的功能研究人员指出。

第一个落在受损机器上的有效载荷是一个伪装成“java”的比特币矿工。exe的文件，每三周在凌晨3点（大多数人不在他们的系统前）挖掘加密货币。

对于密码窃取，恶意软件还部署了两个版本的Mimikatz密码抓取实用程序之一(取决于受影响机器的操作架构)获取密码并将其上载到命令和控制服务器。

PZhao的最终有效载荷包括一个稍加修改的Gh0st remote access特洛伊木马（RAT）版本，该版本被设计为后门植入，其行为与在与铁虎APT集团相关的网络攻击中检测到的版本非常相似。

Gh0st RAT配备了大规模网络间谍功能，包括：

• 实时和离线远程按键记录
• 所有活动进程和打开窗口的列表
• 通过麦克风收听对话
• 窃听网络摄像头的实时视频
• 允许远程关闭和重新启动系统
• 从Internet下载二进制文件到远程主机
• 修改和窃取文件等等。

研究人员说，虽然PZhao战役中使用的工具已经使用了几年，“它们经过了战斗测试，非常适合未来的攻击。”。

自2010年开始活跃的“铁虎”组织，也被称为“使者熊猫”或“威胁集团-3390”，是一个中国高级持久性威胁（APT）组织，该组织曾支持此前的活动，导致美国国防承包商的董事和经理窃取了大量数据。

与PZhao战役类似，该组织还对中国、菲律宾和西藏的实体进行了袭击，此外还袭击了美国境内的目标。