CCleaner 後門事件真正目標:癱瘓大機構電腦,對象有 Intel、Sony、Samsung、Microsoft

作者 | 發布日期 2017 年 09 月 26 日 7:00 | 分類 網路 , 資訊安全 , 軟體、系統 follow us in feedly

先前被駭客入侵,在官方網站提供的下載裡,混入有害程式的 CCleaner,被 Cisco 旗下的保安部門 Talos 查證等有害程式的實際攻擊對象。目前 CCleaner 已推出最新版本,用戶只要移除原程式,再安裝新版便可解決問題。但專家建議 Intel、Sony、Samsung、Microsoft 等大機構的電腦,需要重新格式化硬碟,並重新安裝 OS 作業系統。



這次 Cisco 旗下保安部門 Talos 解構被植入 CCleaner 的有害程式。Talos 指出,這些有害程式的攻擊對象,是特定的大企業,屬於目標攻擊型的惡意程式。他們建議安裝 32bit 版 CCleaner v5.33.6162 及 CCleaner Cloud v1.07.3191 的大企業用戶,將系統硬碟格式化,然後再重新安裝 OS 系統軟體。

Talos 分析這個有害程式連接的 C2 伺服器殘留的資料,伺服器會根據所屬電腦的網域,進一步發佈第二輪有害程式。受影響機構包括:Singtel、HTC、Samsung、Sony、Gauselmann、VMware、Intel、Microsoft、Cisco、O2、Vodafone、Linksys、Epson、MSI、Dvrdns、akamai、dlink 等。且這個列表顯示的機構還只是所有目標的一小部分。

有關惡意程式的 PHP 檔案分析結果,可看到程式會為使用者分流:由惡意程式網站繼續進程,或者轉接到 Priform(CCleaner 開發者)的伺服器。

而駭客的 PHP 程式會根據 IP 位址、MAC 位址、主機名稱、網域名稱的組合來選定攻擊對象,繼而發佈第二輪有害程式。

Talos 引述 Kaspersky 卡巴斯基研究者的報告,根據程式碼的編寫方式,指出這次有害程式的製作者極有機會是駭客組織「Group 72」。

▲ 左邊是 CCleaner 被植入的程式,右邊是另一個 Group 72 的惡意程式。

Talos 得到駭客曾發佈第二輪駭客程式的對象。為了保護該公司私隱,Talos 遮蓋了名字。但從列表中得知,駭客已經向超過 20 家企業發佈第二輪惡意程式。根據他們的分析,駭客會利用惡意程式攻擊有關電腦,或許會令這些機構的電腦癱瘓。建議受影響的電腦應儘快刪除有關程式,並重新安裝系統軟體。

(本文由 Unwire HK 授權轉載)