當前位置:
首頁 > 最新 > 黑客使用被盜 D-Link 證書籤名惡意軟體

黑客使用被盜 D-Link 證書籤名惡意軟體

GIF

聚焦源代碼安全,網羅國內外最新資訊!

翻譯:360代碼衛士團隊

ESET公司發布報告稱,黑客間諜組織BlackTech正在濫用盜自台灣公司的代碼簽名證書傳播後門。

BlackTech 技術高超且主要攻擊東亞地區尤其是中國台灣地區。這些證書盜自 D-Link 以及安全公司 Changing 信息技術公司,被用於簽名後門 Plead。

Plead 攻擊活動被指至少活躍於2012年,它常常關注的是機密文檔並主要攻擊台灣「政府機構」以及私營組織機構。D-Link 證書被盜的證據在於,它被用於簽名非惡意的 D-Link 軟體而不僅僅是 Plead 惡意軟體。

D-Link 接到證書濫用通知後於7月3日將其連同第二個證書撤銷。D-Link 在一份安全公告中指出,多數客戶應該不會受到證書撤銷的影響。

D-Link 公司指出,高度活躍的網間諜組織利用 PLEAD 惡意軟體從位於中亞地區尤其是中國台灣、日本和中國香港的公司和組織機構竊取機密信息。

Changing 信息技術公司也位於中國台灣,它於7月4日撤銷了遭濫用的證書,但 ESET 公司表示此後這些證書仍被濫用於惡意目的。

惡意軟體實施多種惡意目的

簽名惡意軟體樣本還包含用於混淆目的的花指令,而且它們都執行同樣的動作:它們要麼從遠程伺服器提取或從本地磁碟加密 shellcode 下載最後的 Plead 後門模塊。

PLEAD能從主流 web 瀏覽器中竊取密碼,如 Chrome、Firefox和 IE 瀏覽器以及微軟 Outlook。

趨勢科技公司表示,Plead 後門還能夠列出驅動、進程,打開遭攻陷機器上的窗口和文件,通過 ShellExecute API打開遠程shell、上傳文件、執行應用,並刪除文件。

ESET 公司表示,「濫用數字證書是網路犯罪分子掩飾惡意目的的多種方式之一,因為被盜證書可導致惡意軟體看似合法應用,從而使惡意軟體能在不引起懷疑的情況下增大繞過安全措施的幾率。」

使用代碼簽名證書傳播惡意軟體並非新鮮事,於2010年被發現的「震網」蠕蟲就很好地說明了威脅人員能長期參與此類實踐。「震網」蠕蟲是首個針對關鍵基礎設施的惡意軟體,它利用的是盜自台灣技術公司 RealTek 和 JMicron 公司的數字證書。

https://www.securityweek.com/hackers-using-stolen-d-link-certificates-malware-signing

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 代碼衛士 的精彩文章:

Facebook隱私設置出問題 80萬用戶受影響
英特爾酷睿 CPU 又曝新漏洞 所有操作系統均受影響

TAG:代碼衛士 |