黑客使用被盜 D-Link 證書籤名惡意軟體
GIF
聚焦源代碼安全,網羅國內外最新資訊!
翻譯:360代碼衛士團隊
ESET公司發布報告稱,黑客間諜組織BlackTech正在濫用盜自台灣公司的代碼簽名證書傳播後門。
BlackTech 技術高超且主要攻擊東亞地區尤其是中國台灣地區。這些證書盜自 D-Link 以及安全公司 Changing 信息技術公司,被用於簽名後門 Plead。
Plead 攻擊活動被指至少活躍於2012年,它常常關注的是機密文檔並主要攻擊台灣「政府機構」以及私營組織機構。D-Link 證書被盜的證據在於,它被用於簽名非惡意的 D-Link 軟體而不僅僅是 Plead 惡意軟體。
D-Link 接到證書濫用通知後於7月3日將其連同第二個證書撤銷。D-Link 在一份安全公告中指出,多數客戶應該不會受到證書撤銷的影響。
D-Link 公司指出,高度活躍的網間諜組織利用 PLEAD 惡意軟體從位於中亞地區尤其是中國台灣、日本和中國香港的公司和組織機構竊取機密信息。
Changing 信息技術公司也位於中國台灣,它於7月4日撤銷了遭濫用的證書,但 ESET 公司表示此後這些證書仍被濫用於惡意目的。
惡意軟體實施多種惡意目的
簽名惡意軟體樣本還包含用於混淆目的的花指令,而且它們都執行同樣的動作:它們要麼從遠程伺服器提取或從本地磁碟加密 shellcode 下載最後的 Plead 後門模塊。
PLEAD能從主流 web 瀏覽器中竊取密碼,如 Chrome、Firefox和 IE 瀏覽器以及微軟 Outlook。
趨勢科技公司表示,Plead 後門還能夠列出驅動、進程,打開遭攻陷機器上的窗口和文件,通過 ShellExecute API打開遠程shell、上傳文件、執行應用,並刪除文件。
ESET 公司表示,「濫用數字證書是網路犯罪分子掩飾惡意目的的多種方式之一,因為被盜證書可導致惡意軟體看似合法應用,從而使惡意軟體能在不引起懷疑的情況下增大繞過安全措施的幾率。」
使用代碼簽名證書傳播惡意軟體並非新鮮事,於2010年被發現的「震網」蠕蟲就很好地說明了威脅人員能長期參與此類實踐。「震網」蠕蟲是首個針對關鍵基礎設施的惡意軟體,它利用的是盜自台灣技術公司 RealTek 和 JMicron 公司的數字證書。
https://www.securityweek.com/hackers-using-stolen-d-link-certificates-malware-signing
※Facebook隱私設置出問題 80萬用戶受影響
※英特爾酷睿 CPU 又曝新漏洞 所有操作系統均受影響
TAG:代碼衛士 |