黑客使用被盜 D-Link 證書籤名惡意軟體

GIF

聚焦源代碼安全，網羅國內外最新資訊！

翻譯：360代碼衛士團隊

ESET公司發布報告稱，黑客間諜組織BlackTech正在濫用盜自台灣公司的代碼簽名證書傳播後門。

BlackTech 技術高超且主要攻擊東亞地區尤其是中國台灣地區。這些證書盜自 D-Link 以及安全公司 Changing 信息技術公司，被用於簽名後門 Plead。

Plead 攻擊活動被指至少活躍於2012年，它常常關注的是機密文檔並主要攻擊台灣「政府機構」以及私營組織機構。D-Link 證書被盜的證據在於，它被用於簽名非惡意的 D-Link 軟體而不僅僅是 Plead 惡意軟體。

D-Link 接到證書濫用通知後於7月3日將其連同第二個證書撤銷。D-Link 在一份安全公告中指出，多數客戶應該不會受到證書撤銷的影響。

D-Link 公司指出，高度活躍的網間諜組織利用 PLEAD 惡意軟體從位於中亞地區尤其是中國台灣、日本和中國香港的公司和組織機構竊取機密信息。

Changing 信息技術公司也位於中國台灣，它於7月4日撤銷了遭濫用的證書，但 ESET 公司表示此後這些證書仍被濫用於惡意目的。

惡意軟體實施多種惡意目的

簽名惡意軟體樣本還包含用於混淆目的的花指令，而且它們都執行同樣的動作：它們要麼從遠程伺服器提取或從本地磁碟加密 shellcode 下載最後的 Plead 後門模塊。

PLEAD能從主流 web 瀏覽器中竊取密碼，如 Chrome、Firefox和 IE 瀏覽器以及微軟 Outlook。

趨勢科技公司表示，Plead 後門還能夠列出驅動、進程，打開遭攻陷機器上的窗口和文件，通過 ShellExecute API打開遠程shell、上傳文件、執行應用，並刪除文件。

ESET 公司表示，「濫用數字證書是網路犯罪分子掩飾惡意目的的多種方式之一，因為被盜證書可導致惡意軟體看似合法應用，從而使惡意軟體能在不引起懷疑的情況下增大繞過安全措施的幾率。」

使用代碼簽名證書傳播惡意軟體並非新鮮事，於2010年被發現的「震網」蠕蟲就很好地說明了威脅人員能長期參與此類實踐。「震網」蠕蟲是首個針對關鍵基礎設施的惡意軟體，它利用的是盜自台灣技術公司 RealTek 和 JMicron 公司的數字證書。

https://www.securityweek.com/hackers-using-stolen-d-link-certificates-malware-signing

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！