黑客使用被盗的D-Link证书进行恶意软件签名

  • A+
所属分类:网络安全新闻

一个网络间谍组织正在滥用从台湾公司窃取的代码签名证书,以分发他们的后门,ESET报告。

该组织被称为BlackTech ,看起来技术高超,专注于东亚地区,特别是台湾。ESET的安全研究人员表示,从D-Link和安全公司Changing Information Technology Inc.窃取的证书已用于签署Plead后门。

黑客使用被盗的D-Link证书进行恶意软件签名

据称,恳求运动自2012年以来一直活跃,通常侧重于机密文件,主要针对台湾政府机构和私人组织。

ESET 解释说,证据表明D-Link证书被盗是因为它被用于签署非恶意D-Link软件,而不仅仅是Plead恶意软件。

在被告知滥用其证书后,D-Link于7月3日撤销了该证书以及第二份证书。在一份咨询报告中,该公司表示其大多数客户不应受到撤销的影响。

“D-Link是一个高度活跃的网络间谍组织的受害者,该组织一直使用PLEAD恶意软件从东亚的公司和组织窃取机密信息,特别是在台湾,日本和香港,”该公司表示。

ESET透露,位于台湾的Changing Information Technology公司已于7月4日撤销了滥用的证书,但威胁行为人甚至在该日期之后继续将其用于恶意目的。

签名的恶意软件样本还包含用于混淆目的的垃圾代码,但所有操作都执行相同的操作:它们从远程服务器获取或从本地磁盘加密的shellcode打开,旨在下载最终的Plead后门模块。

恶意软件可以从主要的Web浏览器(如Chrome,Firefox和Internet Explorer)以及Microsoft Outlook中窃取密码。

根据趋势科技的说法,Plead后门还可以在受感染的计算机上列出驱动器,进程,打开的窗口和文件,可以打开远程shell,上传文件,通过ShellExecute API执行应用程序以及删除文件。

“滥用数字证书是网络犯罪分子试图掩盖其恶意意图的众多方式之一 - 因为被盗证书使恶意软件看起来像合法应用程序,恶意软件更有可能偷偷过去采取安全措施而不会引起怀疑,”ESET指出。

使用代码签名证书进行恶意软件交付并不是一种新颖的做法,而2010年发现的Stuxnet蠕虫就是威胁行为者参与此类行为多久的一个很好的例子。作为第一个针对关键基础设施的公司,Stuxnet使用了从RealTek和JMicron窃取的数字证书,这些知名台湾科技公司。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: