中国黑客被指与西方航空航天公司遭RAT入侵有关
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全10月22日讯 网络安全公司Cylance发博文表示,与中国高级黑客组织Winnti存在“重大”关联的威胁攻击者近期对西方某航空航天公司发起攻击。
航空航天遭到“Hacker’s Door”木马攻击
Cylance称在近期一起事件响应中发现,威胁攻击者利用远程访问木马(RAT)“Hacker’s Door”入侵某航空航天公司。“Hacker’s Door”可追溯到2004年,但由于过去十年经过断断续续地改进、升级及售卖,研究人员很少发现它。
Cylance的Tom Bonner(汤姆·邦纳)表示,该事件与中国APT组织有关联的线索源于被盗取的证书,其关联点在于该证书为中国黑客组织Winnti所用。
中国开发人员“yyt_hac”在售卖这款RAT,并要求买方勿利用该工具从事非法活动。
Hacker’s Door有哪些强大的功能?
最新版Hacker’s Door支持64位系统。这款RAT包含后门和Rootkit组件,激活后便会执行一系列远程命令:
收集系统信息;
抓取截图和文件;
下载其它文件;
运行其它进程和命令;
列出并结束进程;
打开Telnet和RDP服务器;
提取当前会话的Windows凭证。
Cylance研究人员解释称,攻击者未来很有可能利用这款工具发起针对性攻击,因为这款工具具备的高级功能及其易用性使其不失为一款最佳RAT。
中国开发人员“yyt_hac”黑化?
Bonner表示,这款RAT的作者还创建了另一款恶意软件“yt_hac’s ntrootkit”(其宣称包含另一款针对Windows内核的旧版后门)、“Ghost Shield 1.0”工具(声称是木马防火墙),和其它通用工具。
Bonner还指出,中国开发人员“yyt_hac”在某个时间现身网络开启“黑化”之路,2005年左右销声匿迹,2015年再现江湖。但这与此前“要求买方勿利用该工具从事非法活动”相矛盾。
Cylance未提供有关这起入侵、受害者或渗透者的其它详情。
注:本文由E安全编译报道,转载请注明原文地址
https://www.easyaq.com/news/7677538.shtml
相关阅读:
▼点击“阅读原文” 查看更多精彩内容