|
E安全10月22日訊 網(wǎng)絡(luò)安全公司Cylance發(fā)博文表示,與中國(guó)高級(jí)黑客組織Winnti存在“重大”關(guān)聯(lián)的威脅攻擊者近期對(duì)西方某航空航天公司發(fā)起攻擊�����。
航空航天遭到“Hacker’s Door”木馬攻擊
Cylance稱在近期一起事件響應(yīng)中發(fā)現(xiàn)���,威脅攻擊者利用遠(yuǎn)程訪問(wèn)木馬(RAT)“Hacker’s Door”入侵某航空航天公司�����。“Hacker’s Door”可追溯到2004年����,但由于過(guò)去十年經(jīng)過(guò)斷斷續(xù)續(xù)地改進(jìn)、升級(jí)及售賣�,研究人員很少發(fā)現(xiàn)它����。
Cylance的Tom Bonner(湯姆·邦納)表示���,該事件與中國(guó)APT組織有關(guān)聯(lián)的線索源于被盜取的證書���,其關(guān)聯(lián)點(diǎn)在于該證書為中國(guó)黑客組織Winnti所用��。Tom Bonner稱這種關(guān)聯(lián)對(duì)確定歸因相當(dāng)重要�。
中國(guó)開發(fā)人員“yyt_hac”在售賣這款RAT��,并要求買方勿利用該工具從事非法活動(dòng)��。
Hacker’s Door功能強(qiáng)大
最新版Hacker’s Door支持64位系統(tǒng)�。這款RAT包含后門和Rootkit組件�����,激活后便會(huì)執(zhí)行一系列遠(yuǎn)程命令:
收集系統(tǒng)信息��;
下載其它文件���;
運(yùn)行其它進(jìn)程和命令;
列出并結(jié)束進(jìn)程����;
打開Telnet和RDP服務(wù)器��;
提取當(dāng)前會(huì)話的Windows憑證�。
Cylance研究人員解釋稱���,攻擊者未來(lái)很有可能利用這款工具發(fā)起針對(duì)性攻擊����,因?yàn)檫@款工具具備的高級(jí)功能及其易用性使其不失為一款最佳RAT��。
研究人員認(rèn)為中國(guó)開發(fā)人員“yyt_hac”黑化
Bonner表示�,這款RAT的作者還創(chuàng)建了另一款惡意軟件“yt_hac’s ntrootkit”(其宣稱包含另一款針對(duì)Windows內(nèi)核的舊版后門)、“Ghost Shield 1.0”工具(聲稱是木馬防火墻)����,和其它通用工具。
Bonner還指出�����,中國(guó)開發(fā)人員“yyt_hac”在某個(gè)時(shí)間現(xiàn)身網(wǎng)絡(luò)開啟“黑化”之路���,2005年左右銷聲匿跡�����,2015年再現(xiàn)江湖���。但這與此前“要求買方勿利用該工具從事非法活動(dòng)”相矛盾。
| 
