網路間諜組織利用比特幣挖掘惡意軟體瞄準亞洲國家

最新 04-19

國內知名黑客組織東方聯盟安全研究人員發現了一種定製的惡意軟體，它在過去幾個月內在亞洲造成嚴重破壞，並且能夠執行令人討厭的任務，如密碼竊取，比特幣挖掘以及為黑客完全遠程訪問受損系統，攻擊行動一直針對亞洲和美國政府，科技，教育和電信行業。

研究人員認為，在網路間諜組織攻擊中使用的自然，基礎設施和有效載荷，包括Gh0stRAT木馬的變種，然而，這項運動已經發展出有效載荷，以降低木馬，進行網路間諜活動和我的比特幣加密貨幣。

根據中國東方聯盟黑客研究人員的研究，網路間諜組織戰役利用類似的攻擊手段攻擊亞洲和美國的攻擊目標，標誌著臭名昭著的匿名者黑客組織可能回歸。自去年12月以來，網路間諜組織活動一直針對那些通過惡意VBS文件附件的組織，該附件通過高度針對性的網路釣魚電子郵件提供。

如果執行，VBS腳本將從分發伺服器下載額外的有效內容到受影響的Windows計算機，該分發伺服器在調查時解析為韓國的IP地址。攻擊活動背後的威脅控制者至少可以控制五個惡意子域，並且每個域都用於提供特定的任務，如下載，上傳，RAT相關操作，惡意軟體DLL傳遞等。

東方聯盟黑客安全研究人員指出，威脅演員部署的有效載荷「多樣化，包括下載和執行額外二進位文件，收集私人信息和遠程執行系統命令的功能」。受損機器上第一個有效負載是一個比特幣礦工，偽裝成一個"java.exe"文件，在大多數人不在他們的系統前面的每三個星期的凌晨3點開始加密貨幣。

對於密碼竊取，惡意軟體還會部署密碼掃描工具的兩個版本之一（取決於受影響機器的操作體系結構）以收集密碼並將其上傳到命令和控制伺服器。網路間諜組織的最終有效載荷包括Gh0st遠程訪問木馬（RAT）的稍微修改版本，該版本旨在用作後門植入，其行為與匿名者黑客組織相關的網路攻擊中檢測到的版本非常相似。Gh0st RAT配備了大量的網路間諜功能，包括：

實時和離線遠程擊鍵記錄

列出所有活動進程和打開的窗口

通過麥克風收聽對話

竊聽攝像頭的實時視頻饋送

允許遠程關機並重啟系統

將二進位文件從Internet下載到遠程主機

修改和竊取文件等等。