查看原文
其他

中国黑客被指与西方航空航天公司遭RAT入侵有关

2017-10-22 E小编 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com


E安全10月22日讯 网络安全公司Cylance发博文表示,与中国高级黑客组织Winnti存在“重大”关联的威胁攻击者近期对西方某航空航天公司发起攻击。

航空航天遭到“Hacker’s Door”木马攻击


Cylance称在近期一起事件响应中发现,威胁攻击者利用远程访问木马(RAT)“Hacker’s Door”入侵某航空航天公司。“Hacker’s Door”可追溯到2004年,但由于过去十年经过断断续续地改进、升级及售卖,研究人员很少发现它。


Cylance的Tom Bonner(汤姆·邦纳)表示,该事件与中国APT组织有关联的线索源于被盗取的证书,其关联点在于该证书为中国黑客组织Winnti所用。

中国开发人员“yyt_hac”在售卖这款RAT,并要求买方勿利用该工具从事非法活动。

Hacker’s Door有哪些强大的功能?


最新版Hacker’s Door支持64位系统。这款RAT包含后门和Rootkit组件,激活后便会执行一系列远程命令:


  • 收集系统信息;

  • 抓取截图和文件;

  • 下载其它文件;

  • 运行其它进程和命令;

  • 列出并结束进程;

  • 打开Telnet和RDP服务器;

  • 提取当前会话的Windows凭证。

Cylance研究人员解释称,攻击者未来很有可能利用这款工具发起针对性攻击,因为这款工具具备的高级功能及其易用性使其不失为一款最佳RAT。

中国开发人员“yyt_hac”黑化?

Bonner表示,这款RAT的作者还创建了另一款恶意软件“yt_hac’s ntrootkit”(其宣称包含另一款针对Windows内核的旧版后门)、“Ghost Shield 1.0”工具(声称是木马防火墙),和其它通用工具。

Bonner还指出,中国开发人员“yyt_hac”在某个时间现身网络开启“黑化”之路,2005年左右销声匿迹,2015年再现江湖。但这与此前“要求买方勿利用该工具从事非法活动”相矛盾。

Cylance未提供有关这起入侵、受害者或渗透者的其它详情。

注:本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/7677538.shtml

相关阅读:

▼点击“阅读原文” 查看更多精彩内容

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存