|
E安全10月22日訊 網(wǎng)絡(luò)安全公司Cylance發(fā)博文表示����,與中國高級黑客組織Winnti存在“重大”關(guān)聯(lián)的威脅攻擊者近期對西方某航空航天公司發(fā)起攻擊。
航空航天遭到“Hacker’s Door”木馬攻擊
Cylance稱在近期一起事件響應(yīng)中發(fā)現(xiàn),威脅攻擊者利用遠程訪問木馬(RAT)“Hacker’s Door”入侵某航空航天公司����。“Hacker’s Door”可追溯到2004年���,但由于過去十年經(jīng)過斷斷續(xù)續(xù)地改進、升級及售賣���,研究人員很少發(fā)現(xiàn)它�����。
Cylance的Tom Bonner(湯姆·邦納)表示��,該事件與中國APT組織有關(guān)聯(lián)的線索源于被盜取的證書��,其關(guān)聯(lián)點在于該證書為中國黑客組織Winnti所用。Tom Bonner稱這種關(guān)聯(lián)對確定歸因相當(dāng)重要���。
中國開發(fā)人員“yyt_hac”在售賣這款RAT�,并要求買方勿利用該工具從事非法活動�����。
Hacker’s Door功能強大
最新版Hacker’s Door支持64位系統(tǒng)��。這款RAT包含后門和Rootkit組件�����,激活后便會執(zhí)行一系列遠程命令:
收集系統(tǒng)信息;
下載其它文件�;
運行其它進程和命令;
列出并結(jié)束進程;
打開Telnet和RDP服務(wù)器����;
提取當(dāng)前會話的Windows憑證�����。
Cylance研究人員解釋稱,攻擊者未來很有可能利用這款工具發(fā)起針對性攻擊�,因為這款工具具備的高級功能及其易用性使其不失為一款最佳RAT。
研究人員認為中國開發(fā)人員“yyt_hac”黑化
Bonner表示���,這款RAT的作者還創(chuàng)建了另一款惡意軟件“yt_hac’s ntrootkit”(其宣稱包含另一款針對Windows內(nèi)核的舊版后門)、“Ghost Shield 1.0”工具(聲稱是木馬防火墻)�����,和其它通用工具��。
Bonner還指出��,中國開發(fā)人員“yyt_hac”在某個時間現(xiàn)身網(wǎng)絡(luò)開啟“黑化”之路,2005年左右銷聲匿跡��,2015年再現(xiàn)江湖�����。但這與此前“要求買方勿利用該工具從事非法活動”相矛盾�。
| 
