کشورهای آسیایی با بدافزار استخراج بیت‌کوین هدف حملات گروه‌های جاسوسی سایبری تحت عملیات PZChao قرار گرفتند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران امنیتی یک قطعه‌ بدافزاری سفارشی کشف کرده‌اند که در طول چندماه گذشته، کشورهای آسیایی را تحت‌تاثیر قرار داده و قادر به انجام کارهای مخربی مانند سرقت گذرواژه، استخراج بیت‌کوین است و نیز دسترسی کامل نفوذگرها به سامانه‌های آسیب‌دیده را فراهم می‌کند.

این عملیات تحت عنوان PZChao، پویشی‌ است که توسط پژوهشگران امنیتی بیت‌دیفندر کشف شده‌است و سازمان‌هایی را در بخش‌های دولتی، فناوری، آموزش و ارتباطات راه دور در آسیا و آمریکا هدف قرار داده‌است.

پژوهشگران بر این باورند که ماهیت، زیرساخت و بارداده‌ها ازجمله نوع دیگری از تروجان Gh۰stRAT در حملات PZChao مورد استفاده قرار گرفته‌اند که یادآور گروه نفوذگران بدنام چینی (ببر آهنی) است.

با این حال، این پویش، بارداده‌های خود را برای رها کردن تروجان، انجام جاسوسی سایبری و استخراج ارز مجازی بیت‌کوین توسعه داده‌است.

پویش PZChao با استفاده از روش‌های حمله‌ مشابه با گروه ببر آهنی به اهداف خود در آسیا و آمریکا حمله می‌کند که به گفته‌ پژوهشگران به بازگشت احتمالی گروه APT چینی اشاره دارد.

از ماه ژوییه‌ سال گذشته، پویش PZChao با پیوست پرونده‌ مخرب VBS که از طریق ایمیل‌های فیشینگ بسیار هدفمند ارائه می‌شود، سازمان‌ها را هدف قرار داده‌است.

اسکریپت VBS در صورت اجرا برای دستگاه ویندوز تحت‌تاثیر قرار گرفته‌است، از یک کارگزار توزیع میزبان «down.pzchao.com» بارداده‌های اضافی بارگیری می‌کند که هنگام بررسی، یک آدرس آی‌پی (۱۲۵.۷.۱۵۲.۵۵) در کره‌ی جنوبی به‌دست آمد.

عاملان تهدیدکننده در پشت این پویش، حداقل پنج زیردامنه‌ مخرب از دامنه‌ pzchao.com را کنترل می‌کنند که هرکدام از این زیردامنه‌ها برای انجام وظایف خاصی مانند بارگیری، بارگذاری، اقدامات مرتبط با RAT و تحویل DLL مخرب مورد استفاده قرار می‌گیرند.

پژوهشگران خاطرنشان كردند که بارداده‌هاي گسترش‌یافته توسط عاملان تهديدكننده «متنوع بوده و قابليت بارگیري و اجرای پرونده‌هاي دوتايي اضافي، جمع‌آوري اطلاعات خصوصي و اجرای از راه دور دستورات بر روی سامانه را دارا هستید.»

اولین بارداده‌ اجرا شده بر روی دستگاه‌های آسیب‌دیده، یک استخراج‌کننده‌ بیت‌کووین است که به‌عنوان یک پرونده‌ java.exe ظاهر شده و هر ۳ هفته یک بار در ساعت ۳ قبل از ظهر، زمانی‌که اکثر مردم مقابل سامانه‌هایشان نیستند، به استخراج ارز مجازی می‌پردازد.

علاوه‌بر این، این بدافزار برای سرقت گذرواژه، یکی از دو نسخه‌ ابزار رمزگشایی Mimikatz (بسته به معماری عملیاتی دستگاه آسیب‌دیده) را به‌منظور دسترسی به گذرواژه‌ها و بارگذاری آن‌ها بر روی کارگزار دستور و کنترل به‌کار می‌گیرد.

آخرین بارداده‌ PZChao، شامل نسخه‌ اصلاح‌شده‌ تروجان دسترسی از راه دور (RAT) Gh۰st است که برای عمل کردن به‌عنوان یک ایمپلنت درِ پشتی طراحی شده و رفتاری بسیار مشابه با نسخه‌های شناسایی شده در حملات سایبری مرتبط با گروه APT ببر آهنی دارد.

تروجان دسترسی از راه دور Gh۰st مجهز به قابلیت‌های جاسوسی گسترده‌ای است، ازجمله:
• سامانه‌ ثبت‌کننده‌ کلیدهای فشرده شده از راه دور به‌حالت برون خط و بدون‌درنگ
• فهرست کردن تمام فرایندهای فعال و پنجره‌های باز شده
• گوش دادن به مکالمات از طریق میکروفون
• استراق سمع ویدئوهای زنده‌ وب‌کم
• امکان خاموش کردن و راه‌اندازی مجدد سامانه از راه دور
• بارگیری دوتایی‌ها برای میزبان راه دور از طریق اینترنت
• اصلاح و سرقت پرونده‌ها و موارد دیگر.

تمام قابلیت‌های فوق به مهاجم راه دور اجازه می‌دهد تا کنترل کامل سامانه‌ آسیب‌دیده را به دست گیرد و به جاسوسی از قربانیان بپردازد و به‌راحتی داده‌های محرمانه را به‌دست آورد.

پژوهشگران می‌گویند که ابزارهای مورد استفاده در پویش PZChao چندساله هستند، «مورد آزمایش قرار گرفته‌اند و برای حملات آینده بسیار مناسب هستند.»

گروه ببر آهنی که فعالیت خود را از سال ۲۰۱۰ میلادی آغاز کرده و به نام‌های «Emissary Panda» یا « Threat Group-۳۳۹۰» نیز شناخته می‌شود، یک گروه تهدیدکننده‌ پیشرفته‌ دائمی (APT) چینی است که در پشت پویش‌های پیشین قرار داشته و منجر به سرقت اطلاعات فراوانی از مدیران و پیمانکاران دفاعی مستقر در آمریکا شده‌است.

این گروه مانند پویش PZChao، علاوه‌بر حمله به اهدافی در آمریکا، حملاتی را نیز علیه نهادهایی در چین، فیلیپین و تبت انجام داده‌است.