E安全5月4日讯 网络安全和管理解决方案提供商 Arbor Networks 公司的安全研究员发现，合法的防盗/寻回软件 LoJack 似乎被偷偷修改，便于黑客潜伏在企业内部网络执行恶意活动。研究人员称，在被感染的 LoJack 实例中发现的域名似乎与俄罗斯黑客组织 APT28 此前的其它黑客行动有关。

LoJack 是一款应用程序，企业或用户可将其安装在设备上（笔记本电脑、平板电脑和智能手机）作信标使用，设备所有者可在设备被盗的情况下追踪并定位设备。

攻击者利用 LoJack实现持久性

研究人员发现，LoJack 应用程序的二进制被人动过手脚，将 LoJack 代理指向恶意命令与控制（C&C）服务器，这意味着，LoJack 原本应向 LoJack 中心服务器发送的信息被发送至了受黑客组织 APT28 控制的服务器，并且接收该服务器发出的指令。

鉴于 LoJack 代理的构建方式，攻击者可访问一款带有内置持续系统的软件，不仅能让 LoJack 不受系统重装和硬盘替换的影响，还能够在目标系统上以最高的权限执行任意代码。执行任意代码的功能可让 APT28 的操纵者下载其它恶意软件，搜索敏感数据，将被盗的数据泄露给远程服务器，清除日志，甚至损坏受感染的计算机。

如果只对 LoJack 二进制稍作修改（比如只修改某个配置文件），大多数反病毒软件并无法将这些被感染的版本界定为恶意软件。

研究人员表示，由于反病毒检测率低，攻击者能够明目张胆地隐藏可执行文件，攻击者只需部署一台能够模拟 LoJack 通信协议的 C&C 服务器即可。

或通过鱼叉式网络钓鱼邮件传播

研究人员表示没有找到证明 APT28 使用 LoJack 入侵受害者系统并窃取数据的证据，但他们仍然坚持存在这种可能性，并且认为黑客使用了鱼叉式钓鱼邮件诱骗受害者将恶意 LoJack 版本安装到系统中。

研究人员认为， APT28 可能受到了2014年黑帽大会的启发后才使用 LoJack 软件作为持久化模块化后门。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/155399558.shtml

▼点击“阅读原文” 查看更多精彩内容