据外媒此前报道,黑客于今年 8 月瞄准清理软件 CCleaner 基础设施展开攻击,导致大量安装文件植入恶意后门。8 月 15 日至 9 月 12 日期间,CCleaner 在官方网站提供了两款受感染应用程序版本 CCleaner v5.33.6162、CCleaner Cloud v1.07.3191。Avast 表示,超过 227 万用户在该时间段下载并安装了上述受感染应用程序。
HackerNews.cc 9 月 25 日消息,安全公司 Avast 于近期公布了一份受到清理软件 CCleaner 第二阶段恶意后门影响的公司列表,其作为对上周发生 CCleaner 攻击事件持续调查的一部分说明。相关调查显示,研究人员于 9 月 10 日发现与 CCleaner 连接的数据库因空间不足出现宕机状态,因此服务器仅包含 9 月 12 日至 16 日的感染数据。不过,攻击者却在服务器崩溃前已在另一台服务器上备份了数据库信息。
图:清理软件 CCleaner
研究人员表示,攻击者托管在第二台服务器的主机供应商与第一台相同,均由 ServerCrate 提供支持。随后,Avast 在相关部门的帮助下获取并成功掌握 CCleaner 恶意软件在服务器上发送受感染主机信息的数据库资料,这意味着研究人员拥有受 CCleaner 恶意软件(第一和第二阶段有效负载)影响的所有主机列表(服务器宕机的 40 小时内除外)。
相关数据显示,逾 160 万台计算机感染第一阶段的恶意软件 Floxif 并上报至 C&C 服务器后,研究人员经过严格过滤筛选后发现,逾 160 万台计算机中存有 40 台隶属科技巨头企业的计算机感染了第二阶段恶意软件。
图:受 CCleaner 第二阶段恶意后门影响的设备信息
此外,研究人员还从备份服务器检索的过滤规则中发现,攻击者在 9 月 10 日之前已针对不同公司设备分发恶意软件,如 HTC、Linksys、Epson、Vodafone、Microsoft 等。随后,Avast 在官方博客表示,该起攻击活动主要针对特定的科技巨头企业与电信公司展开攻击,其主要利用 CCleaner 恶意软件感染用户后选择性针对目标开展二轮攻击。
目前,研究人员发现该款恶意软件的 PHP 代码、myPhpAdmin 日志等资料与 Axiom 类似,因此他们推测该起攻击事件与中国 APT 组织有关。不过,研究人员在分析了两台服务器上的所有登录信息后发现,攻击者活跃时间并非 UTC+8,因此暂时无法确认幕后黑手真正身份。
原作者:Catalin Cimpanu,译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接
请登录后发表评论
注册