CCleaner 攻击逐渐揭示了它的秘密。日前,安全研究人员透露,超过 200 万台 PC已被损坏的 CCleaner 更新污染,在 Windows 计算机上安装后门。一个更深入的分析Cisco Talos Intelligence 透露,该后门在少数情况下被用来安装第二个恶意软件。研究人员发现的 70 万台受感染机器中,大约有 20 台收到了第二个礼包。
技术证据表明,黑客只对属于某些科技公司的机器感兴趣,例如三星、VMware、英特尔、微软或思科。简而言之,CCleaner 行动实际上是一次针对性很强的攻击,因此目标很可能是窃取机密信息。因此,个人用户可以放心,只需更新 CCleaner 即可解决该问题。另一方面,目标公司将被迫将其计算机切换到凯驰,以确保没有恶意软件隐藏在某处。
CCleaner 攻击针对的是具有辅助有效负载的特定公司列表。pic.twitter.com/3ZMq9eXmH8
— @mikko (@mikko)2017 年 9 月 21 日
谁是这次奇怪袭击的幕后黑手?思科 Talos Intelligence 能够恢复一批文件来自与 CCleaner 攻击明显相关的命令和控制 (C&C) 服务器。在这批PHP文件中,他们看到代码中指定的时区是“PRC”,代表“中华人民共和国”。显然,这还远远不足以做出归因。
然而,通过研究 CCleaner 后门,研究人员发现卡巴斯基我们发现一段代码也出现在中国网络间谍组织 APT17(又名 Group 72,又名“极光行动”)使用的恶意软件中。这一发现得到了该公司的证实整数,它指出相关代码尚未在任何其他已知恶意软件或公共软件存储库中出现。因此,这种独特性强化了攻击来自 APT17 的假设。
无论如何,该黑客组织的概况与此类行动非常吻合。 APT17 黑客至少从 2009 年就开始活动,专门从事高级网络间谍活动。这些工具及其技术非常复杂且特别谨慎。他们主要针对欧洲、美国和东南亚。他们在所有经济和政治领域分发间谍软件:军备、金融、政府、外交、技术等。
他们热爱高科技公司
黑客攻击高科技公司似乎是他们的专长之一。 2009年和2010年,他们成功盗版谷歌以及其他十几家软件和 IT 设备供应商,例如 Adobe、Juniper、Rackspace、雅虎或赛门铁克,尤其是窃取其源代码。这也导致了美国和中国之间的外交紧张。
2013年,APT17组织入侵了安全公司Bit9,从而获得了他们的电子证书,并以他们的身份传播间谍软件(来源:诺维塔)。 2015 年,他们入侵了微软的 TechNet 论坛,用后门感染 IT 员工(来源:火眼)。 CCleaner 黑客攻击也是如此:正如 Twitter 上的一些安全专家所指出的那样,非常复杂且非常“聪明”。
这就是东西的类型#APT17/#HiddenLynx做。他们是少数人之一#易于有胆量这样做的团体。 🙁
— 罗尼·托卡佐夫斯基 (@iHeartMalware)2017 年 9 月 21 日
