植入CCleaner的後門程式已感染逾200萬台電腦,微軟、HTC、友訊、微星疑遭鎖定
本周Avast旗下知名系統清理軟體CCleaner被發現遭植入後門程式,致上億用戶有電腦機密資料外洩之虞。不過實際情況可能比這更嚴重;研究人員發現,其中潛藏的惡意程式已感染200多萬台電腦,受害者甚至包括微軟、思科、三星,以及微星、友訊、HTC等20家知名公司。
透過廣受歡迎的CCleaner 5.33.6162版散佈的攻擊程式,是一個2階段下載的APT(Advanced Persistent Threat)攻擊手法,並與外部C&C伺服器建立連結。Avast Security及Cisco Talos研究人員原本以為還未發生,但在拿下C&C伺服器取得其資料後分析發現,它已經開始向外擴散。
Avast指出,在8月15日到9月15日之間全球共227萬台電腦受到影響。從三天的C&C伺服器紀錄來看,來自8個組織的20台電腦收到第2階段的指令,實際收到第2階段命令的電腦數量可能有數百台。
Avast研究人員認為這波攻擊鎖定台灣、日本、英國、德國及美國的大型科技業、電信公司,但不願意公開揭露名單,僅個別私下通知這些公司。
Cisco Talos的研究人員僅採樣9月的4天C&C伺服器連線紀錄,根據研究人員貼出的螢幕截圖(下圖,來源:Talos),包括微軟、思科、HTC、微星、友訊、英特爾、VMware、三星、Sony、Google/Gmail等在清單上。
從9月12日到15日的4天,C&C伺服器的資料即顯示有超過70萬台電腦和其連線。電腦中的重要資訊,包括IP位址、上線時間、主機及網域名稱等都已悄悄傳回外部伺服器,而讓攻擊者決定下一階段準備攻擊哪些機器。而這段採樣的時間,至少20台電腦收到第二階段的指令,顯示是有目標性的攻擊行動。
研究人員發現,第2階段攻擊程式相當複雜,目前只知它使用的是另一個C&C控制網路,而且包含第3階段的無檔案(fileless)攻擊,會在受害電腦記憶體中注入惡意程式。但因為大量運用反偵錯(anti-debugging)及防模擬的手法隱藏其內部架構,研究人員正在和執法單位還在努力解析中。
至於背後攻擊者也還不得而知。但Talos發現該後門程式部門程式碼和一個與中國有關的駭客活動有重疊之處,而且從該C&C伺服器使用的時區研判,可能和中國有關。
CCleaner事件新進展!駭客有意圖地入侵18家科技大廠、竊取機密資料
網路安全公司Morphisec與Cisco發現,這些駭客不僅攻擊一般人的電腦,更是有針對性地駭入Google、Intel、微軟、三星等18家科技公司。
網路安全公司Morphisec與Cisco公佈最新調查報告,這些駭客在讓超過70萬裝有CCleaner軟體中毒後,有意圖地在中毒的電腦中,過濾出位在科技大廠內部的電腦裝置,包含Intel、Google、微軟、Akamai、三星、Sony、VMware、HTC、Linksys、D-Link、Cisco等18家科技廠商,都成為搜尋目標。
當這些駭客成功過濾出屬於科技公司的電腦時,他們進一步透過後門機制,散播另一種電腦病毒、侵入更深層系統以竊取資料。然而,並不是上述列出的所有公司都中標,Cisco不願意透露哪些公司已被駭客侵入,只說已經通知被駭的公司。
報告發出後,CCleaner母公司Avast出面同意Cisco的調查報告,並進一步表示這18家公司裡的8間企業,都已經被駭客侵入。
另外,Cisco與網路安全公司卡巴斯基同時指出,CCleaner病毒內的部分程式碼,與知名駭客團體Group 72(或稱Axiom)重疊。這個駭客團體於2015年時,曾被指出背後操作人是中國官方政府。然而,目前還沒有足夠證據指出CCleaner事件的背後主導者,是同一個駭客團體。
Cisco建議,被CCleaner漏洞入侵的電腦,只是清除CCleaner軟體是不夠的,最好將整個電腦重置到安裝CCleaner以前的時間點,以免電腦病毒殘留。
喔~Google、Intel、微軟、Sony、D-Link、Cisco也全部中獎了嗎?
很顯然這裡面沒有Apple!![]()
