先前被骇客入侵,在官方网站提供的下载里,混入有害程式的 CCleaner,被 Cisco 旗下的保安部门 Talos 查证等有害程式的实际攻击对象。目前 CCleaner 已推出最新版本,用户只要移除原程式,再安装新版便可解决问题。但专家建议 Intel、Sony、Samsung、Microsoft 等大机构的电脑,需要重新格式化硬盘,并重新安装 OS 操作系统。
这次 Cisco 旗下保安部门 Talos 解构被植入 CCleaner 的有害程式。Talos 指出,这些有害程式的攻击对象,是特定的大企业,属于目标攻击型的恶意程式。他们建议安装 32bit 版 CCleaner v5.33.6162 及 CCleaner Cloud v1.07.3191 的大企业用户,将系统硬盘格式化,然后再重新安装 OS 系统软件。
Talos 分析这个有害程式连接的 C2 服务器残留的资料,服务器会根据所属电脑的网域,进一步发布第二轮有害程式。受影响机构包括:Singtel、HTC、Samsung、Sony、Gauselmann、VMware、Intel、Microsoft、Cisco、O2、Vodafone、Linksys、Epson、MSI、Dvrdns、akamai、dlink 等。且这个列表显示的机构还只是所有目标的一小部分。
有关恶意程式的 PHP 档案分析结果,可看到程式会为使用者分流:由恶意程式网站继续进程,或者转接到 Priform(CCleaner 开发者)的服务器。
而骇客的 PHP 程式会根据 IP 位址、MAC 位址、主机名称、网域名称的组合来选定攻击对象,继而发布第二轮有害程式。
Talos 引述 Kaspersky 卡巴斯基研究者的报告,根据程式码的编写方式,指出这次有害程式的制作者极有机会是骇客组织“Group 72”。
▲ 左边是 CCleaner 被植入的程式,右边是另一个 Group 72 的恶意程式。
Talos 得到骇客曾发布第二轮骇客程式的对象。为了保护该公司隐私,Talos 遮盖了名字。但从列表中得知,骇客已经向超过 20 家企业发布第二轮恶意程式。根据他们的分析,骇客会利用恶意程式攻击有关电脑,或许会令这些机构的电脑瘫痪。建议受影响的电脑应尽快删除有关程式,并重新安装系统软件。
- CCleaner Command and Control Causes Concern
(本文由 Unwire HK 授权转载)
