Zero
Video: 10 strategie chiave per la prevenzione delle calamità e maggiore sicurezza
La scoperta di custom-built malware in grado di furto di password, bitcoin mining, e fornendo agli hacker l’accesso completo a sistemi compromessi potrebbe segnalare il ritorno di un gruppo di hacker noto.
Gli attacchi Operazione PZChao destinazione governo, la tecnologia, l’istruzione, e di telecomunicazioni, aziende del Nord America e in Asia. Compromessi gli obiettivi sono controllati con una rete di dannoso sottodomini — ognuno con il nome di PZChao.
La natura degli attacchi, così come le infrastrutture e i carichi usati, comprese le varianti di Gh0st RATTO trojan — hanno portato i ricercatori di Bitdefender per concludere che potrebbero significare il ritorno di Iron Tiger APT (advanced persistent threat).
Iron Tiger è pensato per essere stato attivo dal 2010, di essere in Cina, e sono stati dietro delle campagne precedenti, che ha portato al furto di grandi quantità di record da NOI imprenditori. Il gruppo è anche detto di avere condotto spionaggio contro obiettivi in Cina e in altre parti dell’Asia.
Con il PZChao campagna di attaccare analoghi obiettivi in tutto, sia in Nord America e Asia) e l’utilizzo di simili tattiche di attacco — come il Ferro Tigre, è possibile che le due campagne, potrebbe essere opera della stessa minaccia attore.
“Possiamo solo speculare su di attribuzione, ma una cosa è certa: il Gh0stRat campioni utilizzati in Ferro Tigre APT allegare sono estremamente simili ai campioni identificati nel PZCHAO attacco,” Bogdan Botezatu, senior e minaccia di analista di Bitdefender, ha detto a ZDNet.
Organizzazioni di interesse per gli aggressori sono stati i destinatari di questa campagna, almeno dal luglio dello scorso anno, il punto iniziale di compromesso provenienti da altamente mirati e-mail di phishing dotato di un dannoso VBS file allegato.
VBS script è utilizzato per scaricare il payload dannosi per i sistemi Windows da un server di distribuzione, che i ricercatori hanno determinato che un indirizzo IP in Corea del Sud, anche se questo è probabilmente destinato ad essere un posto di sosta volti ad indurre in errore tutti coloro che guardano gli attacchi.
Ovunque essa si basa in realtà, questo server ospita il PZChao domini utilizzati per eseguire le diverse fasi di attacchi contro obiettivi, con uno dei server responsabile per il download di nuovi componenti per una vasta gamma di attacchi dannosi.
Vedi anche: Cyberwar: Una guida per la spaventosa online di conflitto
Mentre gli strumenti sembrano essere prevalentemente progettato per lo spionaggio, il primo carico utile è sceso su sistemi compromessi è un bitcoin miner, travestito come un ‘java.exe’ file e utilizzato ogni tre settimane, alle 3 del mattino-un tempo, quando è probabile che nessuno sarà il monitoraggio delle prestazioni dei sistemi, in modo da non essere notato che le macchine sono in esecuzione lentamente, mentre mining cryptocurrency. È probabile che il bitcoin mining è necessario per mantenere il cyber-spionaggio operazione in corso.
I nuovi attacchi sono molto simili a quelli utilizzati dal Ferro Tigre operazione di hacking.
Immagine: iStock
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0