本周���,Avast旗下的文件清理工具CCleaner發(fā)現(xiàn)被黑客植入了后門程序����,使得 CCleaner 自動進行多階段惡意軟件下載����,從而達到對用戶進行勒索、盜取隱私等目的���。CCleaner在全球擁有超過 1.3 億的用戶群,總下載量超過 20 億次�,平均每周新增的用戶數(shù)有約500 萬人,因此上億用戶都有可能遭遇電腦數(shù)據(jù)外泄情況���。Avast表示�,在8月15日到9月15日之間全球共227萬臺電腦受到影響。
這個通過CCleaner 5.33.6162版本散布的攻擊程序���,是一個二階段下載的APT(Advanced Persistent Threat高級持續(xù)威脅)攻擊手法(這種高級持續(xù)性威脅會主動挖掘被攻擊對象受信系統(tǒng)和應用程序的漏洞�����,利用這些漏洞組建攻擊者所需的網(wǎng)絡����,并利用零時漏洞漏洞進行攻擊)�,并與外部C&C服務器建立連接。Avast Security及思科Talos研究人員原本以為還未發(fā)生����,但從三天的C&C服務器紀錄來看,來自8個機構(gòu)的20臺電腦收到了第2階段的指令���,實際收到第2階段命令的電腦數(shù)量可能有數(shù)百臺��。
思科Talos的研究人員僅對9月份4天的C&C服務器紀錄進行了采樣��,以下為研究人員貼出的截圖(來源:Talos)����,作為初初始感染惡意軟件后啟動的第二階段特定攻擊,明顯針對20家科技公司�,其中包括微軟、思科����、HTC、英特爾���、VMware���、三星電子、索尼��、谷歌等��。
思科研究人員發(fā)現(xiàn)�,第二階段攻擊程式相當復雜,目前只知道它使用的是另一個C&C控制網(wǎng)絡����,而且包含第3階段的無文件(fileless)攻擊,會在電腦內(nèi)存里植入惡意程序���。但因為大量運用反調(diào)試(anti-debugging)及防模擬的手法隱藏其內(nèi)部架構(gòu),研究人員正在和執(zhí)法單位努力解析中。目前據(jù)悉該工具漏洞已修復�����。
至于幕后攻擊者還不得而知。但Talos發(fā)現(xiàn)該后門程序與中國有關的黑客組織(72組��,Group72)的共享代碼有重疊之處����,而且從該C&C服務器器使用的時區(qū)來看,同一時區(qū)范圍內(nèi)的包括中國�,俄羅斯和東南亞的部分地區(qū)。
