时间:2017-10-22 19:38来源:E安全 作者:中国航空
|
E安全10月22日讯 网络安全公司Cylance发博文表示,与中国高级黑客组织Winnti存在“重大”关联的威胁攻击者近期对西方某航空航天公司发起攻击。 航空航天遭到“Hacker’s Door”木马攻击
Cylance称在近期一起事件响应中发现,威胁攻击者利用远程访问木马(RAT)“Hacker’s Door”入侵某航空航天公司。“Hacker’s Door”可追溯到2004年,但由于过去十年经过断断续续地改进、升级及售卖,研究人员很少发现它。
Cylance的Tom Bonner(汤姆·邦纳)表示,该事件与中国APT组织有关联的线索源于被盗取的证书,其关联点在于该证书为中国黑客组织Winnti所用。Tom Bonner称这种关联对确定归因相当重要。
中国开发人员“yyt_hac”在售卖这款RAT,并要求买方勿利用该工具从事非法活动。
Hacker’s Door功能强大
最新版Hacker’s Door支持64位系统。这款RAT包含后门和Rootkit组件,激活后便会执行一系列远程命令:
收集系统信息;
下载其它文件;
运行其它进程和命令;
列出并结束进程;
打开Telnet和RDP服务器;
提取当前会话的Windows凭证。
Cylance研究人员解释称,攻击者未来很有可能利用这款工具发起针对性攻击,因为这款工具具备的高级功能及其易用性使其不失为一款最佳RAT。
研究人员认为中国开发人员“yyt_hac”黑化
Bonner表示,这款RAT的作者还创建了另一款恶意软件“yt_hac’s ntrootkit”(其宣称包含另一款针对Windows内核的旧版后门)、“Ghost Shield 1.0”工具(声称是木马防火墙),和其它通用工具。
Bonner还指出,中国开发人员“yyt_hac”在某个时间现身网络开启“黑化”之路,2005年左右销声匿迹,2015年再现江湖。但这与此前“要求买方勿利用该工具从事非法活动”相矛盾。
|
