本周��,Avast旗下的文件清理工具CCleaner發(fā)現(xiàn)被黑客植入了后門程序,使得 CCleaner 自動(dòng)進(jìn)行多階段惡意軟件下載�����,從而達(dá)到對用戶進(jìn)行勒索���、盜取隱私等目的。CCleaner在全球擁有超過 1.3 億的用戶群����,總下載量超過 20 億次����,平均每周新增的用戶數(shù)有約500 萬人�,因此上億用戶都有可能遭遇電腦數(shù)據(jù)外泄情況。Avast表示���,在8月15日到9月15日之間全球共227萬臺電腦受到影響�。
這個(gè)通過CCleaner 5.33.6162版本散布的攻擊程序�����,是一個(gè)二階段下載的APT(Advanced Persistent Threat高級持續(xù)威脅)攻擊手法(這種高級持續(xù)性威脅會主動(dòng)挖掘被攻擊對象受信系統(tǒng)和應(yīng)用程序的漏洞�����,利用這些漏洞組建攻擊者所需的網(wǎng)絡(luò)�����,并利用零時(shí)漏洞漏洞進(jìn)行攻擊)�,并與外部C&C服務(wù)器建立連接。Avast Security及思科Talos研究人員原本以為還未發(fā)生�����,但從三天的C&C服務(wù)器紀(jì)錄來看,來自8個(gè)機(jī)構(gòu)的20臺電腦收到了第2階段的指令����,實(shí)際收到第2階段命令的電腦數(shù)量可能有數(shù)百臺。
思科Talos的研究人員僅對9月份4天的C&C服務(wù)器紀(jì)錄進(jìn)行了采樣����,以下為研究人員貼出的截圖(來源:Talos)�����,作為初初始感染惡意軟件后啟動(dòng)的第二階段特定攻擊���,明顯針對20家科技公司����,其中包括微軟�����、思科���、HTC����、英特爾、VMware�����、三星電子���、索尼�����、谷歌等�。
思科研究人員發(fā)現(xiàn)�����,第二階段攻擊程式相當(dāng)復(fù)雜��,目前只知道它使用的是另一個(gè)C&C控制網(wǎng)絡(luò)�,而且包含第3階段的無文件(fileless)攻擊,會在電腦內(nèi)存里植入惡意程序。但因?yàn)榇罅窟\(yùn)用反調(diào)試(anti-debugging)及防模擬的手法隱藏其內(nèi)部架構(gòu)�����,研究人員正在和執(zhí)法單位努力解析中���。目前據(jù)悉該工具漏洞已修復(fù)����。
至于幕后攻擊者還不得而知���。但Talos發(fā)現(xiàn)該后門程序與中國有關(guān)的黑客組織(72組�����,Group72)的共享代碼有重疊之處,而且從該C&C服務(wù)器器使用的時(shí)區(qū)來看����,同一時(shí)區(qū)范圍內(nèi)的包括中國,俄羅斯和東南亞的部分地區(qū)�。
