Nul
Video: 10 vigtigste strategier for katastrofeberedskab og øget IT-sikkerhed
Opdagelsen af custom-bygget malware kunne password-stjæle, bitcoin mining, og giver hackere med fuld adgang til kompromitterede systemer, der kunne signalere en tilbagevenden af en berygtet hacker-gruppen.
Angreb af Drift PZChao er rettet mod offentlige, teknologi, uddannelse og telekommunikation organisationer i Nordamerika og Asien. Kompromitteret mål er kontrolleret med et netværk af ondsindede underdomæner — der hver er opkaldt PZChao.
Karakteren af de angreb, samt infrastruktur og nyttelast-herunder varianter af Gh0st ROTTE trojan — har ført forskere ved Bitdefender at konkludere, at de kunne betegne returnering af Jern Tiger APT (advanced persistent threat) operation.
Strygejern Tiger menes at have været aktiv siden 2010, til at være en Kina-baseret, og for at have stået bag de tidligere kampagner, der resulterede i, at tyveri af store mængder af registreringer fra OS entreprenører. Gruppen er også siges at have udført spionage mod mål i Kina og andre dele af Asien.
Med PZChao kampagne angriber samme mål på tværs af både Nordamerika og Asien — og bruge lignende angreb taktik — som Jern Tiger, er det muligt, at de to kampagner kan være det arbejde af samme trussel skuespiller.
“Vi kan kun gisne om, attribution, men én ting er sikkert: det Gh0stRat prøver, der anvendes i Jern Tiger APT vedhæft er meget svarende til de prøver, der er identificeret i PZCHAO angreb,” Bogdan Botezatu, senior e-trussel, analytiker hos Bitdefender, fortalte ZDNet.
Organisationer af interesse at angriberne har været ramt af denne kampagne, i hvert fald siden juli sidste år, det første kompromis, der kommer fra meget målrettede phishing-e-mails, der er udstyret med en ondsindet vedhæftet VBS-fil.
VBS-script bruges til at downloade den skadelige nyttelast til Windows systemer fra en distribution server, som forskere har besluttet at være en IP-adresse i Sydkorea — selv om dette er sandsynligvis beregnet til at være et midlertidigt indlæg, der er designet til at vildlede nogen, der kigger i angreb.
Hvor det er virkelig baseret, er denne server, der er vært for den PZChao domæner, der anvendes til at udføre de forskellige faser af angreb mod mål, med en af de servere, som er ansvarlige for at hente nye komponenter til en bred vifte af ondsindede angreb.
Se også: Cyberkrig: En guide til den skræmmende fremtidige online konflikt
Mens de værktøjer, der synes at være overvejende designet til spionage, den første nyttelast faldt på kompromitterede systemer er en bitcoin miner, forklædt som en ‘java.exe’ fil og bruges hver tre uger på 3 am-en tid, når det er sandsynligt, at ingen vil være at overvåge gennemførelsen af de systemer, så det vil ikke være bemærket de maskiner, der kører trægt, mens minedrift cryptocurrency. Det er sandsynligt, bitcoin mining er nødvendigt for at holde cyber-spionage operation i gang.
Den nye angreb, er meget lig dem, der bruges af Jern Tiger hacking drift.
Billede: iStock
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0