标题 | 简介 | 类型 | 公开时间 | ||||||||||
|
|||||||||||||
|
|||||||||||||
详情 | |||||||||||||
[SAFE-ID: JIWO-2024-736] 作者: banana 发表于: [2017-09-27]
本文共 [485] 位读者顶过
HackerNews.cc 9 月 25 日消息,安全公司 Avast 于近期公布了一份受到清理软件 CCleaner 第二阶段恶意后门影响的公司列表,其作为对上周发生 CCleaner 攻击事件持续调查的一部分说明。相关调查显示,研究人员于 9 月 10 日发现与 CCleaner 连接的数据库因空间不足出现宕机状态,因此服务器仅包含 9 月 12 日至 16 日的感染数据。不过,攻击者却在服务器崩溃前已在另一台服务器上备份了数据库信息。
图:清理软件 CCleaner 研究人员表示,攻击者托管在第二台服务器的主机供应商与第一台相同,均由 ServerCrate 提供支持。随后,Avast 在相关部门的帮助下获取并成功掌握 CCleaner 恶意软件在服务器上发送受感染主机信息的数据库资料,这意味着研究人员拥有受 CCleaner 恶意软件(第一和第二阶段有效负载)影响的所有主机列表(服务器宕机的 40 小时内除外)。 相关数据显示,逾 160 万台计算机感染第一阶段的恶意软件 Floxif 并上报至 C&C 服务器后,研究人员经过严格过滤筛选后发现,逾 160 万台计算机中存有 40 台隶属科技巨头企业的计算机感染了第二阶段恶意软件。
图:受 CCleaner 第二阶段恶意后门影响的设备信息 此外,研究人员还从备份服务器检索的过滤规则中发现,攻击者在 9 月 10 日之前已针对不同公司设备分发恶意软件,如 HTC、Linksys、Epson、Vodafone、Microsoft 等。随后,Avast 在官方博客表示,该起攻击活动主要针对特定的科技巨头企业与电信公司展开攻击,其主要利用 CCleaner 恶意软件感染用户后选择性针对目标开展二轮攻击。 目前,研究人员发现该款恶意软件的 PHP 代码、myPhpAdmin 日志等资料与 Axiom 类似,因此他们推测该起攻击事件与中国 APT 组织有关。不过,研究人员在分析了两台服务器上的所有登录信息后发现,攻击者活跃时间并非 UTC+8,因此暂时无法确认幕后黑手真正身份。 |