Cyber Espionage Group apunta a países asiáticos con malware de minería Bitcoin
Los investigadores de seguridad descubrieron un malware creado por encargo que está causando estragos en Asia durante los últimos meses y es capaz de realizar tareas desagradables, como robar contraseñas, minería de bitcoin y proporcionar a los hackers acceso remoto completo a sistemas comprometidos.
Denominada Operación PZChao, la campaña de ataque descubierta por los investigadores de seguridad en Bitdefender se ha centrado en organizaciones del gobierno, la tecnología, la educación y las telecomunicaciones en Asia y los Estados Unidos.
Los investigadores creen que la naturaleza, la infraestructura y las cargas útiles, incluidas las variantes del troyano Gh0stRAT, utilizadas en los ataques PZChao son una reminiscencia del famoso grupo hacker chino, Iron Tiger.
Sin embargo, esta campaña ha evolucionado sus cargas útiles para soltar troyanos, realizar ciberespionaje y detectar la criptomoneda de Bitcoin.
La campaña PZChao está atacando objetivos en toda Asia y los EE. UU. Mediante el uso de tácticas de ataque similares a las de Iron Tiger, lo que, según los investigadores, significa el posible regreso del notorio grupo chino APT.
Desde al menos julio del año pasado, la campaña PZChao ha estado apuntando a organizaciones con un archivo adjunto VBS malicioso que se envía a través de correos electrónicos de phishing altamente dirigidos.
Denominada Operación PZChao, la campaña de ataque descubierta por los investigadores de seguridad en Bitdefender se ha centrado en organizaciones del gobierno, la tecnología, la educación y las telecomunicaciones en Asia y los Estados Unidos.
Los investigadores creen que la naturaleza, la infraestructura y las cargas útiles, incluidas las variantes del troyano Gh0stRAT, utilizadas en los ataques PZChao son una reminiscencia del famoso grupo hacker chino, Iron Tiger.
Sin embargo, esta campaña ha evolucionado sus cargas útiles para soltar troyanos, realizar ciberespionaje y detectar la criptomoneda de Bitcoin.
La campaña PZChao está atacando objetivos en toda Asia y los EE. UU. Mediante el uso de tácticas de ataque similares a las de Iron Tiger, lo que, según los investigadores, significa el posible regreso del notorio grupo chino APT.
Desde al menos julio del año pasado, la campaña PZChao ha estado apuntando a organizaciones con un archivo adjunto VBS malicioso que se envía a través de correos electrónicos de phishing altamente dirigidos.
Si se ejecuta, la secuencia de comandos VBS descarga cargas adicionales a una máquina afectada de Windows desde un servidor de distribución que aloja "down.pzchao.com", que resolvió a una dirección IP (125.7.152.55) en Corea del Sur en el momento de la investigación.
Los actores de amenazas detrás de la campaña de ataque tienen control sobre al menos cinco subdominios maliciosos del dominio "pzchao.com", y cada uno se usa para tareas específicas, como descargar, cargar, acciones relacionadas con RAT, entrega de DLL de malware.
Las cargas útiles desplegadas por los actores de amenazas están "diversificadas e incluyen capacidades para descargar y ejecutar archivos binarios adicionales, recopilar información privada y ejecutar remotamente comandos en el sistema", señalaron los investigadores.
La primera carga útil que cayó en las máquinas comprometidas es un minero de Bitcoin, disfrazado como un archivo 'java.exe', que extrae criptomonedas cada tres semanas a las 3 AM, cuando la mayoría de la gente no está frente a sus sistemas.
Para el robo de contraseñas, el malware también implementa una de las dos versiones de la herramienta Mimikatz para borrar contraseñas (dependiendo de la arquitectura operativa de la máquina afectada) para recolectar las contraseñas y cargarlas en el servidor de comando y control.
La carga final de PZChao incluye una versión ligeramente modificada del troyano de acceso remoto Gh0st (RAT) que está diseñado para actuar como un implante de puerta trasera y se comporta de forma muy similar a las versiones detectadas en los ciberataques asociados con el grupo APT de Iron Tiger.
El Gh0st RAT está equipado con enormes capacidades de ciberespionaje, que incluyen:
Registro de teclas remoto en tiempo real y sin conexión
Listado de todos los procesos activos y ventanas abiertas
Escuchando conversaciones en el micrófono
Escuchando detras de la alimentación de video en vivo de las webcams
Permitir el apagado remoto y reiniciar el sistema
Descarga de archivos binarios desde Internet a un host remoto
Modificando y robando archivos y más.
Todas las capacidades anteriores le permiten a un atacante remoto tomar el control total del sistema comprometido, espiar a las víctimas y filtrar datos confidenciales fácilmente.
Si bien las herramientas utilizadas en la campaña PZChao tienen algunos años, "están probadas en combate y son más que adecuadas para ataques futuros", dicen los investigadores.
Activo desde 2010, Iron Tiger, también conocido como "Emissary Panda" o "Threat Group-3390", es un grupo de amenaza persistente avanzada (APT) chino que estuvo detrás de campañas anteriores que resultó en el robo de enormes cantidades de datos de los directores y gerentes de contratistas de defensa con base en los Estados Unidos.
Similar a la campaña PZChao, el grupo también llevó a cabo ataques contra entidades en China, Filipinas y el Tíbet, además de atacar objetivos en los EE. UU.
Para obtener más información, puede leer el documento técnico detallado [PDF] publicado por Bitdefender.