国内知名黑客组织东方联盟安全研究人员发现了一种定制的恶意软件,它在过去几个月内在亚洲造成严重破坏,并且能够执行令人讨厌的任务,如密码窃取,比特币挖掘以及为黑客完全远程访问受损系统,攻击行动一直针对亚洲和美国政府,科技,教育和电信行业。
研究人员认为,在网络间谍组织攻击中使用的自然,基础设施和有效载荷,包括Gh0stRAT木马的变种,然而,这项运动已经发展出有效载荷,以降低木马,进行网络间谍活动和我的比特币加密货币。
根据中国东方联盟黑客研究人员的研究,网络间谍组织战役利用类似的攻击手段攻击亚洲和美国的攻击目标,标志着臭名昭着的匿名者黑客组织可能回归。自去年12月以来,网络间谍组织活动一直针对那些通过恶意VBS文件附件的组织,该附件通过高度针对性的网络钓鱼电子邮件提供。
如果执行,VBS脚本将从分发服务器下载额外的有效内容到受影响的Windows计算机,该分发服务器在调查时解析为韩国的IP地址。攻击活动背后的威胁控制者至少可以控制五个恶意子域,并且每个域都用于提供特定的任务,如下载,上传,RAT相关操作,恶意软件DLL传递等。
东方联盟黑客安全研究人员指出,威胁演员部署的有效载荷“多样化,包括下载和执行额外二进制文件,收集私人信息和远程执行系统命令的功能”。受损机器上第一个有效负载是一个比特币矿工,伪装成一个'java.exe'文件,在大多数人不在他们的系统前面的每三个星期的凌晨3点开始加密货币。
对于密码窃取,恶意软件还会部署密码扫描工具的两个版本之一(取决于受影响机器的操作体系结构)以收集密码并将其上传到命令和控制服务器。网络间谍组织的最终有效载荷包括Gh0st远程访问木马(RAT)的稍微修改版本,该版本旨在用作后门植入,其行为与匿名者黑客组织相关的网络攻击中检测到的版本非常相似。Gh0st RAT配备了大量的网络间谍功能,包括:
实时和离线远程击键记录
列出所有活动进程和打开的窗口
通过麦克风收听对话
窃听摄像头的实时视频馈送
允许远程关机并重启系统
将二进制文件从Internet下载到远程主机
修改和窃取文件等等。
所有上述功能都允许远程攻击者完全控制受感染的系统,监视受害者并轻松泄露机密数据。研究人员说,尽管网络间谍组织活动中使用的工具已经过去几年了,但它们经过了战斗测试,并且更适合未来的攻击。