本周�����,Avast旗下的文件清理工具CCleaner發(fā)現(xiàn)被黑客植入了后門程序�,使得 CCleaner 自動(dòng)進(jìn)行多階段惡意軟件下載�,從而達(dá)到對(duì)用戶進(jìn)行勒索�����、盜取隱私等目的�。CCleaner在全球擁有超過(guò) 1.3 億的用戶群���,總下載量超過(guò) 20 億次�����,平均每周新增的用戶數(shù)有約500 萬(wàn)人����,因此上億用戶都有可能遭遇電腦數(shù)據(jù)外泄情況���。Avast表示�,在8月15日到9月15日之間全球共227萬(wàn)臺(tái)電腦受到影響���。
這個(gè)通過(guò)CCleaner 5.33.6162版本散布的攻擊程序�����,是一個(gè)二階段下載的APT(Advanced Persistent Threat高級(jí)持續(xù)威脅)攻擊手法(這種高級(jí)持續(xù)性威脅會(huì)主動(dòng)挖掘被攻擊對(duì)象受信系統(tǒng)和應(yīng)用程序的漏洞�,利用這些漏洞組建攻擊者所需的網(wǎng)絡(luò),并利用零時(shí)漏洞漏洞進(jìn)行攻擊)���,并與外部C&C服務(wù)器建立連接。Avast Security及思科Talos研究人員原本以為還未發(fā)生���,但從三天的C&C服務(wù)器紀(jì)錄來(lái)看���,來(lái)自8個(gè)機(jī)構(gòu)的20臺(tái)電腦收到了第2階段的指令,實(shí)際收到第2階段命令的電腦數(shù)量可能有數(shù)百臺(tái)���。
思科Talos的研究人員僅對(duì)9月份4天的C&C服務(wù)器紀(jì)錄進(jìn)行了采樣�����,以下為研究人員貼出的截圖(來(lái)源:Talos)����,作為初初始感染惡意軟件后啟動(dòng)的第二階段特定攻擊�,明顯針對(duì)20家科技公司,其中包括微軟����、思科�����、HTC���、英特爾、VMware�����、三星電子���、索尼���、谷歌等。
思科研究人員發(fā)現(xiàn)���,第二階段攻擊程式相當(dāng)復(fù)雜����,目前只知道它使用的是另一個(gè)C&C控制網(wǎng)絡(luò)�����,而且包含第3階段的無(wú)文件(fileless)攻擊,會(huì)在電腦內(nèi)存里植入惡意程序��。但因?yàn)榇罅窟\(yùn)用反調(diào)試(anti-debugging)及防模擬的手法隱藏其內(nèi)部架構(gòu)�����,研究人員正在和執(zhí)法單位努力解析中�����。目前據(jù)悉該工具漏洞已修復(fù)�。
至于幕后攻擊者還不得而知�����。但Talos發(fā)現(xiàn)該后門程序與中國(guó)有關(guān)的黑客組織(72組����,Group72)的共享代碼有重疊之處,而且從該C&C服務(wù)器器使用的時(shí)區(qū)來(lái)看���,同一時(shí)區(qū)范圍內(nèi)的包括中國(guó)��,俄羅斯和東南亞的部分地區(qū)���。
