先前被黑客入侵,在官方網站提供的下載里,混入有害程序的 CCleaner,被 Cisco 旗下的保安部門 Talos 查證等有害程序的實際攻擊對象。目前 CCleaner 已推出最新版本,用戶只要移除原程序,再安裝新版便可解決問題。但專家建議 Intel、Sony、Samsung、Microsoft 等大機構的電腦,需要重新格式化硬盤,并重新安裝 OS 操作系統(tǒng)。
這次 Cisco 旗下保安部門 Talos 解構被植入 CCleaner 的有害程序。Talos 指出,這些有害程序的攻擊對象,是特定的大企業(yè),屬于目標攻擊型的惡意程序。他們建議安裝 32bit 版 CCleaner v5.33.6162 及 CCleaner Cloud v1.07.3191 的大企業(yè)用戶,將系統(tǒng)硬盤格式化,然后再重新安裝 OS 系統(tǒng)軟件。
Talos 分析這個有害程序連接的 C2 服務器殘留的資料,服務器會根據所屬電腦的網域,進一步發(fā)布第二輪有害程序。受影響機構包括:Singtel、HTC、Samsung、Sony、Gauselmann、VMware、Intel、Microsoft、Cisco、O2、Vodafone、Linksys、Epson、MSI、Dvrdns、akamai、dlink 等。且這個列表顯示的機構還只是所有目標的一小部分。
有關惡意程序的 PHP 檔案分析結果,可看到程序會為使用者分流:由惡意程序網站繼續(xù)進程,或者轉接到 Priform(CCleaner 開發(fā)者)的服務器。
而黑客的 PHP 程序會根據 IP 地址、MAC 地址、主機名稱、網域名稱的組合來選定攻擊對象,繼而發(fā)布第二輪有害程序。
Talos 引述 Kaspersky 卡巴斯基研究者的報告,根據程序代碼的編寫方式,指出這次有害程序的制作者極有機會是黑客組織“Group 72”。
▲ 左邊是 CCleaner 被植入的程序,右邊是另一個 Group 72 的惡意程序。
Talos 得到黑客曾發(fā)布第二輪黑客程序的對象。為了保護該公司私隱,Talos 遮蓋了名字。但從列表中得知,黑客已經向超過 20 家企業(yè)發(fā)布第二輪惡意程序。根據他們的分析,黑客會利用惡意程序攻擊有關電腦,或許會令這些機構的電腦癱瘓。建議受影響的電腦應盡快刪除有關程序,并重新安裝系統(tǒng)軟件。
CCleaner Command and Control Causes Concern