针对中国政府的新Zegost恶意软件活动
来自Fortinet的安全研究人员最近发现了针对中国政府机构的新恶意软件活动,其中威胁行为者部署了一个名为Zegost的信息窃取恶意软件。众所周知,恶意软件在感染目标计算机后会执行多种恶意操作。据推测,该恶意软件被用于从政府机构收集某种形式的机密情报——例如国家经济、人口数据等。
Zegost恶意软件
Zegost恶意软件也被称为Zusy / Kris,最初是在2011年被发现的。从那时起,Zegost已经进行了多次迭代,攻击者在各种变种中添加了多项新功能。
据悉,该恶意软件重点关注中国政府机构的网络系统,但不清楚为什么威胁行为者只针对政府机构。
新变种恶意功能升级
Zegost是通过包含恶意附件(武器化的Microsoft Powerpoint文档)的网络钓鱼电子邮件传播的。这些电子邮件自称其附件为“网络视频插件”,实际上却是Zegost恶意软件的新变种。
网络钓鱼电子邮件及恶意附件
在最新发布的博客文章中,Fortinet研究人员详细介绍了Zegost在感染目标设备后能够执行的各种恶意功能及运作过程:
首先,Zegost会捕获目标设备的操作系统版本和处理器信息。随后检查设备上正在运行以下应用程序,并将该信息发送到威胁行为者控制的C2服务器。
应用程序:
360tray.exe,360sd.exe,avp.exe,KvMonXP.exe,RavMonD.exe,Mcshield.exe,egui.exe,NOD32,kxetray.exe,avcenter.exe,ashDisp.exe,rtvscan.exe,ksafe.exe, QQPCRTP.exe,K7TSecurity.exe,QQ.exe,QQ,knsdtray.exe,TMBMSRV.exe,Miner.exe,AYAgent.exe,patray.exe,V3Svc.exe,QUHLPSVC.EXE,QUICK HEAL,mssecess.exe,S .exe,1433.exe,DUB.exe,ServUDaemon.exe,BaiduSdSvc.exe,vmtoolsd.exe,usysdiag.exe
C2服务器:
hxxp://lu1164224557.oicp.net:45450
hxxp://212951jh19.iok.la:9988
在此之后,Zegost记录互联网连接状态、RDP端口号以及QQ登录号等信息。
众所周知,这种Zegost恶意软件也可以记录击键信息,并将其存储在日志文件中并发送到上述C2服务器。
最后也是最关键的一点是,此Zegost变种可以启动进程以逃避防病毒软件的检测。
Zegost的“隐形”进程选项
恶意活动持续进行中
Fortinet研究人员指出,此次攻击活动正在缓慢进行中。“在最初观察到这次通过网络钓鱼分发的Zegost恶意软件活动期间,我们想知道这是否是短时间的一次性恶意活动。然而,现在的分析证实,这是一项正在进行中的持续性恶意活动,”研究人员在博客文章中写道。
据报道,威胁行为者还使用了他们之前部署其他恶意APK、后门和DDoS僵尸网络活动中相同的基础设施。