安基网 首页 资讯 安全报 查看内容

针对中国政府的新Zegost恶意软件活动

2019-8-5 00:19| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 来自Fortinet的安全研究人员最近发现了针对中国政府机构的新恶意软件活动,其中威胁行为者部署了一个名为Zegost的信息窃取恶意软件。众所周知,恶意软件在感染目标计算机后会执行多种恶意操作。据推测,该恶意软件被用于从政府机构收集某种形式的机密情报——例如国家经济、人口数据等。Zegost恶意软件 ...

来自Fortinet的安全研究人员最近发现了针对中国政府机构的新恶意软件活动,其中威胁行为者部署了一个名为Zegost的信息窃取恶意软件。众所周知,恶意软件在感染目标计算机后会执行多种恶意操作。据推测,该恶意软件被用于从政府机构收集某种形式的机密情报——例如国家经济、人口数据等。

Zegost恶意软件

Zegost恶意软件也被称为Zusy / Kris,最初是在2011年被发现的。从那时起,Zegost已经进行了多次迭代,攻击者在各种变种中添加了多项新功能。

据悉,该恶意软件重点关注中国政府机构的网络系统,但不清楚为什么威胁行为者只针对政府机构。

新变种恶意功能升级

Zegost是通过包含恶意附件(武器化的Microsoft Powerpoint文档)的网络钓鱼电子邮件传播的。这些电子邮件自称其附件为“网络视频插件”,实际上却是Zegost恶意软件的新变种。



网络钓鱼电子邮件及恶意附件

在最新发布的博客文章中,Fortinet研究人员详细介绍了Zegost在感染目标设备后能够执行的各种恶意功能及运作过程:

首先,Zegost会捕获目标设备的操作系统版本和处理器信息。随后检查设备上正在运行以下应用程序,并将该信息发送到威胁行为者控制的C2服务器。

应用程序:

360tray.exe,360sd.exe,avp.exe,KvMonXP.exe,RavMonD.exe,Mcshield.exe,egui.exe,NOD32,kxetray.exe,avcenter.exe,ashDisp.exe,rtvscan.exe,ksafe.exe, QQPCRTP.exe,K7TSecurity.exe,QQ.exe,QQ,knsdtray.exe,TMBMSRV.exe,Miner.exe,AYAgent.exe,patray.exe,V3Svc.exe,QUHLPSVC.EXE,QUICK HEAL,mssecess.exe,S .exe,1433.exe,DUB.exe,ServUDaemon.exe,BaiduSdSvc.exe,vmtoolsd.exe,usysdiag.exe

C2服务器:

  • hxxp://lu1164224557.oicp.net:45450
  • hxxp://212951jh19.iok.la:9988

在此之后,Zegost记录互联网连接状态、RDP端口号以及QQ登录号等信息。

众所周知,这种Zegost恶意软件也可以记录击键信息,并将其存储在日志文件中并发送到上述C2服务器。

最后也是最关键的一点是,此Zegost变种可以启动进程以逃避防病毒软件的检测。



Zegost的“隐形”进程选项

恶意活动持续进行中

Fortinet研究人员指出,此次攻击活动正在缓慢进行中。“在最初观察到这次通过网络钓鱼分发的Zegost恶意软件活动期间,我们想知道这是否是短时间的一次性恶意活动。然而,现在的分析证实,这是一项正在进行中的持续性恶意活动,”研究人员在博客文章中写道。

据报道,威胁行为者还使用了他们之前部署其他恶意APK、后门和DDoS僵尸网络活动中相同的基础设施。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/i6720509152650609163/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部