BitDefender发现网络间谍活动“PZChao” 称中国APT组织“熊猫使者”又回来了

时间:2018-02-06 19:41:18来源:互联网作者:xway

       全球知名反病毒厂商比特梵德(BitDefender,简称BD)在最近公布了一份长达16页的研究分析报告,称其安全研究团队发现一起被称为“PZChao”的网络间谍活动,针对了亚洲和美国的政府、科技、教育和电信机构。

      BitDefender在报告中写道:“活动运用了定制的恶意软件,我们已经对其进行了长达几个月时间的监控,因为它在亚洲造成了严重破坏。我们的威胁情报系统在去年7月份监测到了第一个妥协指标,而且我们一直关注这个威胁。”

      恶意软件具有一个恶意子域网络,每个有效载荷都被用于特定任务(下载、上传、远程控制、恶意软件DLL传送等)。有效载荷是多样化的,包括下载和执行额外的二进制文件、收集受害者隐私和在系统上远程执行命令的能力。

      根据攻击的本质,以及所使用的基础设施和有效载荷(包括Gh0st RAT木马的变种)。Bitdefender的研究人员得出结论,曾在2015年发起网络间谍活动“铁虎行动(Operation Iron Tiger)”的 中国APT组织“熊猫使者(Emissary Panda)”似乎又回来了。

      APT组织“熊猫使者” (又名铁虎或TG-3390)至少自2010年以来一直活跃在亚太地区,但自2013年以来,它将攻击目标瞄准了美国的高科技企业。

      Bitdefender的高级电子威胁分析师Bogdan Botezatu解释说:“虽然,我们只是推测,但有一点是可以肯定的,PZChao 活动中的恶意软件样本与铁虎使用的Gh0stRat样本非常相似。”

      PZChao活动背后的团队利用恶意VBS文件作为附件并通过网络钓鱼电子邮件传播,一旦附件执行,恶意软件将从分发服务器下载到Windows系统。尽管IP地址显示来自韩国,但研究人员认为这可能是一个中转站,旨在误导调查。

      无论这个服务器的具体位置在哪里,该服务器都承载着PZChao域,用于执行针对目标的不同阶段的攻击,其中一台服务器负责下载新组件以进行各种各样的恶意攻击。
111.png