针对中国政府的新Zegost恶意软件活动

稿源：MottoIN 2019-08-02 20:27:05

来自Fortinet的安全研究人员最近发现了针对中国政府机构的新恶意软件活动，其中威胁行为者部署了一个名为Zegost的信息窃取恶意软件。众所周知，恶意软件在感染目标计算机后会执行多种恶意操作。据推测，该恶意软件被用于从政府机构收集某种形式的机密情报——例如国家经济、人口数据等。

Zegost恶意软件

Zegost恶意软件也被称为Zusy / Kris，最初是在2011年被发现的。从那时起，Zegost已经进行了多次迭代，攻击者在各种变种中添加了多项新功能。

据悉，该恶意软件重点关注中国政府机构的网络系统，但不清楚为什么威胁行为者只针对政府机构。

新变种恶意功能升级

Zegost是通过包含恶意附件（武器化的Microsoft Powerpoint文档）的网络钓鱼电子邮件传播的。这些电子邮件自称其附件为“网络视频插件”，实际上却是Zegost恶意软件的新变种。

网络钓鱼电子邮件及恶意附件

在最新发布的博客文章中，Fortinet研究人员详细介绍了Zegost在感染目标设备后能够执行的各种恶意功能及运作过程：

首先，Zegost会捕获目标设备的操作系统版本和处理器信息。随后检查设备上正在运行以下应用程序，并将该信息发送到威胁行为者控制的C2服务器。

应用程序：

360tray.exe，360sd.exe，avp.exe，KvMonXP.exe，RavMonD.exe，Mcshield.exe，egui.exe，NOD32，kxetray.exe，avcenter.exe，ashDisp.exe，rtvscan.exe，ksafe.exe， QQPCRTP.exe，K7TSecurity.exe，QQ.exe，QQ，knsdtray.exe，TMBMSRV.exe，Miner.exe，AYAgent.exe，patray.exe，V3Svc.exe，QUHLPSVC.EXE，QUICK HEAL，mssecess.exe，S .exe，1433.exe，DUB.exe，ServUDaemon.exe，BaiduSdSvc.exe，vmtoolsd.exe，usysdiag.exe

C2服务器：

hxxp：//lu1164224557.oicp.net：45450

hxxp：//212951jh19.iok.la：9988

在此之后，Zegost记录互联网连接状态、RDP端口号以及QQ登录号等信息。

众所周知，这种Zegost恶意软件也可以记录击键信息，并将其存储在日志文件中并发送到上述C2服务器。

最后也是最关键的一点是，此Zegost变种可以启动进程以逃避防病毒软件的检测。