这件事引起了很大的轰动。 2017 年 9 月,CCleaner 发行商 Piriform 宣布其著名实用软件的某些版本已损坏。黑客成功地引入了可执行文件一个后门甚至在更新服务器分发之前。总共有 227 万用户感染了该恶意软件,其目的是分析计算机的上下文,并在必要时安装“下载程序”,即旨在安装其他恶意软件的恶意软件。下载器最终只安装了在大约四十台机器上,在高科技公司内。事实证明,这是一次非常有针对性的行动。
从那时起,Avast 的安全研究人员(该公司于 2017 年收购了 Piriform)引领 他们的 调查并发现海盗是如何做到这一点的。我们现在知道,他们于 2017 年 3 月 11 日凌晨 5 点通过 TeamViewer 软件连接到开发人员工作站,在 Piriform 的内部网络中获得了立足点。广泛应用于高科技领域,可以远程控制机器进行维护。在这种情况下,黑客显然是通过另一种方式获取了 TeamViewer 凭据,因为他们只需要尝试一次登录即可。
他们在“构建服务器”中站稳了脚跟
该工作站被用作感染网络中其他三台计算机的跳板。黑客选择了一种已经出现在雷达上的黑客工具卡巴斯基2017年8月,即ShadowPad。它是一个模块化的间谍平台,集成了击键收集或密码盗窃等功能。黑客特别成功地入侵了用于创建 CCleaner 可执行文件的“构建服务器”。 ShadowPad 日志还显示,犯罪分子成功收集了 Microsoft 开发平台 Visual Studio 的标识符。因此,他们拥有将恶意软件注入 CCleaner 所需的一切。奇怪的是,他们仍然等了五个月才采取行动。
Avast 不知道感染 40 台计算机的下载程序是否实际上下载了第三个恶意软件(在 CCleaner 和 ownloader 后门之后)。不过,发行商认为,如果是这样的话,很可能就是 ShadowPad。该恶意软件的另外两个样本在韩国和俄罗斯被发现,其存在可以追溯到 2014 年。根据所使用的不同恶意软件代码中发现的某些元素,所有这些行动背后的组织是Axiom 别名 APT 17,一群华裔黑客,专门从事工业间谍活动。
来源:阿瓦斯特
