HITCON:台湾60家企业仍中APT1网军恶意程序

安全
上周六结束的2013黑客年会,今年活动标语”Cyberwar: In hack we trust”,在「APT1 反攻网军后台」这场演说中得到最好注解。来自卢森堡的资深资安研究人员Paul Rascagnere研究今年初Mandiant公司发佈的APT1报告,发现网军所使用的远端木马工具Poison Ivy的漏洞并成功入侵其所使用的中继站

上周六结束的2013黑客年会,今年活动标语”Cyberwar: In hack we trust”,在「APT1 反攻网军后台」这场演说中得到最好注解。来自卢森堡的资深资安研究人员Paul Rascagnere研究今年初Mandiant公司发佈的APT1报告,发现网军所使用的远端木马工具Poison Ivy的漏洞并成功入侵其所使用的中继站,最后在一连串的受害目标名单上,惊见台湾仍有包含电信公司、网路设备厂商在内等60多个单位名列其中。

Poison Ivy(简称PI)常见于於许多APT攻击,是拥有档案管理、机码管理、程序管理、萤幕抓取、声音档录制等多功能的远端木马工具(RAT),因而受到攻击者爱用。此次研究人员自行撰写PI扫描器,扫描出一连串位于香港的PI主机,紧接著找出PI的漏洞并破解登入PI的密码。研究人员发现此命令控制(C&C)伺服器是躲在一代理服务器之后,透过通讯埠转送(Port Forwarding)的方式将真实IP隐藏起来。登入攻击者的VMware远端桌面后,研究人员进一步发现许多连上此C&C主机的受害电脑。

HITCON:台湾60家企业仍中APT1网军恶意程序

 

在此次Paul的研究中也发现攻击行為具有规律的上下班时间性,与过去台湾研究人员发现相同。(注:卢森堡时间比香港当地晚6小时。)

紧接着,研究人员继续发现第2个黑客使用的RAT工具Terminator,这支RAT先前趋势科技曾发现并命名為Fakem。研究人员继续撰写工具并暴力破解Terminator的密码,接着发现连结到Terminator的受害单位包括公营、民间企业、政治团体、民运人士、记者等。

最后Paul Rascagnere统计受害email中,总共有2247个来自台湾(.tw),而受害企业包括电信公司、竹科知名网路设备商、高雄某大学等60多家。上述企业网路中现今仍存有PI或Terminator的用户端未清除,这些恶意程式可能因為不断变种,因而不容易被防毒软体侦测。Paul Rascagnere表示已通报受害单位,可进一步提供协助处理。

责任编辑:蓝雨泪 来源: 资安人
相关推荐

2013-10-16 13:37:44

APT1网络武器黑客

2016-12-26 15:28:34

恶意程序PowerShellA程序

2013-03-07 09:26:47

2011-08-11 11:26:11

2011-03-30 09:20:08

2012-10-24 17:21:46

2012-06-04 09:16:39

2015-01-06 11:37:58

恶意程序查杀Rootkit Hun

2012-07-25 09:25:38

恶意程序蠕虫病毒

2014-03-26 10:35:05

2009-05-09 18:22:33

2010-04-07 15:53:46

2010-12-17 10:01:00

2021-01-15 10:10:24

恶意程序包程序包恶意代码

2021-04-28 09:35:16

恶意程序恶意代码、攻击

2021-07-03 09:26:49

黑客微软恶意程序

2015-09-15 13:49:41

2014-03-06 17:24:30

2014-07-04 11:09:14

2013-10-25 13:49:27

点赞
收藏

51CTO技术栈公众号