CCleaner 后門事件真正目標:癱瘓大機構電腦

責任編輯:editor004

2017-09-26 10:51:07

摘自:TechNews科技新報

先前被黑客入侵,在官方網站提供的下載里,混入有害程序的 CCleaner,被 Cisco 旗下的保安部門 Talos 查證等有害程序的實際攻擊對象。而黑客的 PHP 程序會根據 IP 地址、MAC 地址、主機名稱、網域名稱的組合來選定攻擊對象,繼而發(fā)布第二輪有害程序。

先前被黑客入侵,在官方網站提供的下載里,混入有害程序的 CCleaner,被 Cisco 旗下的保安部門 Talos 查證等有害程序的實際攻擊對象。目前 CCleaner 已推出最新版本,用戶只要移除原程序,再安裝新版便可解決問題。但專家建議 Intel、Sony、Samsung、Microsoft 等大機構的電腦,需要重新格式化硬盤,并重新安裝 OS 操作系統(tǒng)。

這次 Cisco 旗下保安部門 Talos 解構被植入 CCleaner 的有害程序。Talos 指出,這些有害程序的攻擊對象,是特定的大企業(yè),屬于目標攻擊型的惡意程序。他們建議安裝 32bit 版 CCleaner v5.33.6162 及 CCleaner Cloud v1.07.3191 的大企業(yè)用戶,將系統(tǒng)硬盤格式化,然后再重新安裝 OS 系統(tǒng)軟件。

Talos 分析這個有害程序連接的 C2 服務器殘留的資料,服務器會根據所屬電腦的網域,進一步發(fā)布第二輪有害程序。受影響機構包括:Singtel、HTC、Samsung、Sony、Gauselmann、VMware、Intel、Microsoft、Cisco、O2、Vodafone、Linksys、Epson、MSI、Dvrdns、akamai、dlink 等。且這個列表顯示的機構還只是所有目標的一小部分。

有關惡意程序的 PHP 檔案分析結果,可看到程序會為使用者分流:由惡意程序網站繼續(xù)進程,或者轉接到 Priform(CCleaner 開發(fā)者)的服務器。

而黑客的 PHP 程序會根據 IP 地址、MAC 地址、主機名稱、網域名稱的組合來選定攻擊對象,繼而發(fā)布第二輪有害程序。

Talos 引述 Kaspersky 卡巴斯基研究者的報告,根據程序代碼的編寫方式,指出這次有害程序的制作者極有機會是黑客組織“Group 72”。

  ▲ 左邊是 CCleaner 被植入的程序,右邊是另一個 Group 72 的惡意程序。

Talos 得到黑客曾發(fā)布第二輪黑客程序的對象。為了保護該公司私隱,Talos 遮蓋了名字。但從列表中得知,黑客已經向超過 20 家企業(yè)發(fā)布第二輪惡意程序。根據他們的分析,黑客會利用惡意程序攻擊有關電腦,或許會令這些機構的電腦癱瘓。建議受影響的電腦應盡快刪除有關程序,并重新安裝系統(tǒng)軟件。

  CCleaner Command and Control Causes Concern

 

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號