CCleaner 后门事件真正目标:瘫痪大机构电脑,对象有 Intel、Sony

作者: 时间:2020-06-06C汇生活295人已围观

CCleaner 后门事件真正目标:瘫痪大机构电脑,对象有 Intel、Sony

先前被骇客入侵,在官方网站提供的下载里,混入有害程式的 CCleaner,被 Cisco 旗下的保安部门 Talos 查证等有害程式的实际攻击对象。目前 CCleaner 已推出最新版本,用户只要移除原程式,再安装新版便可解决问题。但专家建议 Intel、Sony、Samsung、Microsoft 等大机构的电脑,需要重新格式化硬碟,并重新安装 OS 作业系统。

这次 Cisco 旗下保安部门 Talos 解构被植入 CCleaner 的有害程式。Talos 指出,这些有害程式的攻击对象,是特定的大企业,属于目标攻击型的恶意程式。他们建议安装 32bit 版 CCleaner v5.33.6162 及 CCleaner Cloud v1.07.3191 的大企业用户,将系统硬碟格式化,然后再重新安装 OS 系统软体。

Talos 分析这个有害程式连接的 C2 伺服器残留的资料,伺服器会根据所属电脑的网域,进一步发布第二轮有害程式。受影响机构包括:Singtel、HTC、Samsung、Sony、Gauselmann、VMware、Intel、Microsoft、Cisco、O2、Vodafone、Linksys、Epson、MSI、Dvrdns、akamai、dlink 等。且这个列表显示的机构还只是所有目标的一小部分。

CCleaner 后门事件真正目标:瘫痪大机构电脑,对象有 Intel、Sony

有关恶意程式的 PHP 档案分析结果,可看到程式会为使用者分流:由恶意程式网站继续进程,或者转接到 Priform(CCleaner 开发者)的伺服器。

CCleaner 后门事件真正目标:瘫痪大机构电脑,对象有 Intel、Sony

而骇客的 PHP 程式会根据 IP 位址、MAC 位址、主机名称、网域名称的组合来选定攻击对象,继而发布第二轮有害程式。

CCleaner 后门事件真正目标:瘫痪大机构电脑,对象有 Intel、Sony

Talos 引述 Kaspersky 卡巴斯基研究者的报告,根据程式码的编写方式,指出这次有害程式的製作者极有机会是骇客组织「Group 72」。

CCleaner 后门事件真正目标:瘫痪大机构电脑,对象有 Intel、Sony

 左边是 CCleaner 被植入的程式,右边是另一个 Group 72 的恶意程式。

Talos 得到骇客曾发布第二轮骇客程式的对象。为了保护该公司私隐,Talos 遮盖了名字。但从列表中得知,骇客已经向超过 20 家企业发布第二轮恶意程式。根据他们的分析,骇客会利用恶意程式攻击有关电脑,或许会令这些机构的电脑瘫痪。建议受影响的电脑应儘快删除有关程式,并重新安装系统软体。

CCleaner 后门事件真正目标:瘫痪大机构电脑,对象有 Intel、Sony

相关文章