Bitcoin mining malware utilizzato per il cyber spionaggio contro i paesi asiatici

Bitcoin mining malware utilizzato per il cyber spionaggio contro i paesi asiatici

Bitcoin mining malware utilizzato per il cyber spionaggio contro i paesi asiatici
I ricercatori di sicurezza hanno scoperto un malware che sta scatenando il caos in Asia per il passato parecchi mesi ed è in grado di eseguire compiti sgradevoli, come il furto di password, l’estrazione di Bitcoin, e fornisce agli hacker l’accesso remoto completo ai sistemi compromessi.

Gli attacchi Operazione PZChao destinazione governo, la tecnologia, l’istruzione, e di telecomunicazioni, aziende del Nord America e in Asia. Compromessi gli obiettivi sono controllati con una rete di dannoso sottodomini — ognuno con il nome di PZChao.

I ricercatori ritengono che la natura, le infrastrutture, e payload, tra varianti del trojan Gh0stRAT, utilizzati negli attacchi PZChao ricordano del famigerato gruppo hacker cinese iron Tiger .
La campagna PZChao sta attaccando obiettivi in tutta l’Asia e gli Stati Uniti utilizzando strategie di attacco simili a quelle utilizzate da Iron Tiger, che, secondo i ricercatori, indica il possibile ritorno del famigerato gruppo APT cinese.

Dal momento che almeno dal luglio dello scorso anno, la campagna PZChao ha preso di mira le organizzazioni con un file allegato VBS dannoso in grado di offrire tramite e-mail di phishing altamente mirati.

cyber-spionaggio-malware

Se eseguito, lo script VBS scarica carichi utili addizionali a una macchina Windows interessata da un server di distribuzione di hosting ” down.pzchao.com “, che ha deliberato di un indirizzo IP (125.7.152.55) in Corea del Sud, al momento delle indagini.

Gli attori  dietro la campagna di attacco hanno il controllo su almeno cinque sottodomini maligni del ” pzchao.com “, ognuno viene utilizzato per servire compiti specifici, come il download, upload, le azioni legate RAT, consegna DLL malware.

I carichi utili distribuiti dagli attori delle minacce sono ” diversificati e comprendono le capacità di scaricare ed eseguire file binari aggiuntivi, raccogliere informazioni private e da remoto di eseguire comandi sul sistema ,” ricercatori hanno notato.

Il primo carico utile è un miner Bitcoin, travestito da un file ‘java.exe’, che mina la criptovaluta ogni tre settimane alle 3 del mattino, quando la maggior parte delle persone non sono davanti ai loro dispositivi.

Per rubare le password, il malware distribuisce anche una delle due versioni del Mimikatz-password che è utile ( a seconda dell’architettura di funzionamento della macchina colpita ) per raccogliere le password e caricare quest’ultime sul server di comando e controllo.

Payload finale di PZChao include una versione leggermente modificata di Gh0st accesso remoto trojan (RAT) che è progettato per agire come un impianto backdoor e si comporta in modo simile alle versioni identificate in attacchi informatici associati al gruppo APT Iron Tiger.

Il RAT Gh0st è dotato di enormi capacità di cyber-spionaggio, tra cui:

  • In tempo reale e non in linea la registrazione dei tasti a distanza
  • Elenco di tutti i processi attivi e le finestre aperte
  • Ascolta le conversazioni tramite microfono
  • Intercettazioni sul feed video in diretta webcam
  • Consente arresto remoto e riavvio del sistema
  • Il download binario da Internet per host remoto
  • Modifica e ruba file e altro ancora.
Permette ad un attaccante remoto di prendere il pieno controllo del sistema compromesso, spiare le vittime e sfiltrare dati riservati facilmente.

Mentre gli strumenti utilizzati nella campagna PZChao sono pochi anni, “sono battaglia-testato e più che adatto per futuri attacchi,” dicono i ricercatori.

Attivo dal 2010, Iron Tiger , noto anche come “Emissario Panda” o “Threat Group-3390”, è una avanzata delle minacce persistenti cinese (APT) gruppo che era dietro le campagne precedenti con conseguente furto di enormi quantità di dati da amministratori e gestori di appaltatori della difesa con sede negli USA.

Simile alla campagna PZChao, il gruppo ha anche effettuato attacchi contro le entità in Cina, nelle Filippine, e il Tibet, oltre ad attaccare obiettivi negli Stati Uniti

Michele Minister

Ciao e benvenuto nel mio sito e voglio dirti Chi Sono, innanzitutto parto col dire che mi chiamo Marco Martini ma sono anche chiamato Michele Minister dato che Michele è il mio secondo nome e Minister è il nickname che ho da sempre utilizzato su tutti i giochi e quindi li ho messi insieme dato che non volevo utilizzare il classico Nome e Cognome per creare un sito. Ho soli 17 anni e svolgo parallelamente alla scuola la professione di Webmaster e Divulgatore Informatico, sono sempre stato timido ed insicuro ma con il diffondersi maggiormente delle nuove tecnologie e di Internet, mi sono avvicinato a questo nuovo mondo che ho sempre reputato il migliore.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

×
WhatsApp chat