查看原文
其他

黑客使用被盗 D-Link 证书签名恶意软件

Swati Khandelwal 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

翻译:360代码卫士团队

ESET公司发布报告称,黑客间谍组织 BlackTech 正在滥用盗自台湾公司的代码签名证书传播后门。

BlackTech 技术高超且主要攻击东亚地区尤其是中国台湾地区。这些证书盗自 D-Link 以及安全公司 Changing 信息技术公司,被用于签名后门 Plead。

Plead 攻击活动被指至少活跃于2012年,它常常关注的是机密文档并主要攻击台湾“政府机构”以及私营组织机构。D-Link 证书被盗的证据在于,它被用于签名非恶意的 D-Link 软件而不仅仅是 Plead 恶意软件。

D-Link 接到证书滥用通知后于7月3日将其连同第二个证书撤销。D-Link 在一份安全公告中指出,多数客户应该不会受到证书撤销的影响。

D-Link 公司指出,高度活跃的网间谍组织利用 PLEAD 恶意软件从位于中亚地区尤其是中国台湾、日本和中国香港的公司和组织机构窃取机密信息。

Changing 信息技术公司也位于中国台湾,它于7月4日撤销了遭滥用的证书,但 ESET 公司表示此后这些证书仍被滥用于恶意目的。

恶意软件实施多种恶意目的

签名恶意软件样本还包含用于混淆目的的花指令,而且它们都执行同样的动作:它们要么从远程服务器提取或从本地磁盘加密 shellcode 下载最后的 Plead 后门模块。

PLEAD能从主流 web 浏览器中窃取密码,如 Chrome、Firefox和 IE 浏览器以及微软 Outlook。

趋势科技公司表示,Plead 后门还能够列出驱动、进程,打开遭攻陷机器上的窗口和文件,通过 ShellExecute API打开远程shell、上传文件、执行应用,并删除文件。

ESET 公司表示,“滥用数字证书是网络犯罪分子掩饰恶意目的的多种方式之一,因为被盗证书可导致恶意软件看似合法应用,从而使恶意软件能在不引起怀疑的情况下增大绕过安全措施的几率。”

使用代码签名证书传播恶意软件并非新鲜事,于2010年被发现的“震网”蠕虫就很好地说明了威胁人员能长期参与此类实践。“震网”蠕虫是首个针对关键基础设施的恶意软件,它利用的是盗自台湾技术公司 RealTek 和 JMicron 公司的数字证书。


关联阅读

Trustico 故意攻陷2.3万名用户的 SSL 证书并承认存储私钥

代码签名证书买卖黑市的真实情况是怎样的?


原文链接

https://www.securityweek.com/hackers-using-stolen-d-link-certificates-malware-signing



本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存