کشورهای آسیایی با بدافزار استخراج بیتکوین هدف حملات گروههای جاسوسی سایبری تحت عملیات PZChao قرار گرفتند.
منبع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
کشورهای آسیایی با بدافزار استخراج بیتکوین هدف حملات گروههای جاسوسی سایبری تحت عملیات PZChao قرار گرفتند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران امنیتی یک قطعه بدافزاری سفارشی کشف کردهاند که در طول چندماه گذشته، کشورهای آسیایی را تحتتاثیر قرار داده و قادر به انجام کارهای مخربی مانند سرقت گذرواژه، استخراج بیتکوین است و نیز دسترسی کامل نفوذگرها به سامانههای آسیبدیده را فراهم میکند.
این عملیات تحت عنوان PZChao، پویشی است که توسط پژوهشگران امنیتی بیتدیفندر کشف شدهاست و سازمانهایی را در بخشهای دولتی، فناوری، آموزش و ارتباطات راه دور در آسیا و آمریکا هدف قرار دادهاست.
پژوهشگران بر این باورند که ماهیت، زیرساخت و باردادهها ازجمله نوع دیگری از تروجان Gh۰stRAT در حملات PZChao مورد استفاده قرار گرفتهاند که یادآور گروه نفوذگران بدنام چینی (ببر آهنی) است.
با این حال، این پویش، باردادههای خود را برای رها کردن تروجان، انجام جاسوسی سایبری و استخراج ارز مجازی بیتکوین توسعه دادهاست.
پویش PZChao با استفاده از روشهای حمله مشابه با گروه ببر آهنی به اهداف خود در آسیا و آمریکا حمله میکند که به گفته پژوهشگران به بازگشت احتمالی گروه APT چینی اشاره دارد.
از ماه ژوییه سال گذشته، پویش PZChao با پیوست پرونده مخرب VBS که از طریق ایمیلهای فیشینگ بسیار هدفمند ارائه میشود، سازمانها را هدف قرار دادهاست.
اسکریپت VBS در صورت اجرا برای دستگاه ویندوز تحتتاثیر قرار گرفتهاست، از یک کارگزار توزیع میزبان «down.pzchao.com» باردادههای اضافی بارگیری میکند که هنگام بررسی، یک آدرس آیپی (۱۲۵.۷.۱۵۲.۵۵) در کرهی جنوبی بهدست آمد.
عاملان تهدیدکننده در پشت این پویش، حداقل پنج زیردامنه مخرب از دامنه pzchao.com را کنترل میکنند که هرکدام از این زیردامنهها برای انجام وظایف خاصی مانند بارگیری، بارگذاری، اقدامات مرتبط با RAT و تحویل DLL مخرب مورد استفاده قرار میگیرند.
پژوهشگران خاطرنشان كردند که باردادههاي گسترشیافته توسط عاملان تهديدكننده «متنوع بوده و قابليت بارگیري و اجرای پروندههاي دوتايي اضافي، جمعآوري اطلاعات خصوصي و اجرای از راه دور دستورات بر روی سامانه را دارا هستید.»
اولین بارداده اجرا شده بر روی دستگاههای آسیبدیده، یک استخراجکننده بیتکووین است که بهعنوان یک پرونده java.exe ظاهر شده و هر ۳ هفته یک بار در ساعت ۳ قبل از ظهر، زمانیکه اکثر مردم مقابل سامانههایشان نیستند، به استخراج ارز مجازی میپردازد.
علاوهبر این، این بدافزار برای سرقت گذرواژه، یکی از دو نسخه ابزار رمزگشایی Mimikatz (بسته به معماری عملیاتی دستگاه آسیبدیده) را بهمنظور دسترسی به گذرواژهها و بارگذاری آنها بر روی کارگزار دستور و کنترل بهکار میگیرد.
آخرین بارداده PZChao، شامل نسخه اصلاحشده تروجان دسترسی از راه دور (RAT) Gh۰st است که برای عمل کردن بهعنوان یک ایمپلنت درِ پشتی طراحی شده و رفتاری بسیار مشابه با نسخههای شناسایی شده در حملات سایبری مرتبط با گروه APT ببر آهنی دارد.
تروجان دسترسی از راه دور Gh۰st مجهز به قابلیتهای جاسوسی گستردهای است، ازجمله: • سامانه ثبتکننده کلیدهای فشرده شده از راه دور بهحالت برون خط و بدوندرنگ • فهرست کردن تمام فرایندهای فعال و پنجرههای باز شده • گوش دادن به مکالمات از طریق میکروفون • استراق سمع ویدئوهای زنده وبکم • امکان خاموش کردن و راهاندازی مجدد سامانه از راه دور • بارگیری دوتاییها برای میزبان راه دور از طریق اینترنت • اصلاح و سرقت پروندهها و موارد دیگر.
تمام قابلیتهای فوق به مهاجم راه دور اجازه میدهد تا کنترل کامل سامانه آسیبدیده را به دست گیرد و به جاسوسی از قربانیان بپردازد و بهراحتی دادههای محرمانه را بهدست آورد.
پژوهشگران میگویند که ابزارهای مورد استفاده در پویش PZChao چندساله هستند، «مورد آزمایش قرار گرفتهاند و برای حملات آینده بسیار مناسب هستند.»
گروه ببر آهنی که فعالیت خود را از سال ۲۰۱۰ میلادی آغاز کرده و به نامهای «Emissary Panda» یا « Threat Group-۳۳۹۰» نیز شناخته میشود، یک گروه تهدیدکننده پیشرفته دائمی (APT) چینی است که در پشت پویشهای پیشین قرار داشته و منجر به سرقت اطلاعات فراوانی از مدیران و پیمانکاران دفاعی مستقر در آمریکا شدهاست.
این گروه مانند پویش PZChao، علاوهبر حمله به اهدافی در آمریکا، حملاتی را نیز علیه نهادهایی در چین، فیلیپین و تبت انجام دادهاست.