CCleaner 后门事件真正目标

先前被黑客入侵，在官方网站提供的下载里，混入有害程序的 CCleaner，被 Cisco 旗下的保安部门 Talos 查证等有害程序的实际攻击对象。目前 CCleaner 已推出最新版本，用户只要移除原程序，再安装新版便可解决问题。但专家建议 Intel、Sony、Samsung、Microsoft 等大机构的电脑，需要重新格式化硬盘，并重新安装 OS 操作系统

这次 Cisco 旗下保安部门 Talos 解构被植入 CCleaner 的有害程序。Talos 指出，这些有害程序的攻击对象，是特定的大企业，属于目标攻击型的恶意程序。他们建议安装 32bit 版 CCleaner v5.33.6162 及 CCleaner Cloud v1.07.3191 的大企业用户，将系统硬盘格式化，然后再重新安装 OS 系统软件。

Talos 分析这个有害程序连接的 C2 服务器残留的资料，服务器会根据所属电脑的网域，进一步发布第二轮有害程序。受影响机构包括：Singtel、HTC、Samsung、Sony、Gauselmann、VMware、Intel、Microsoft、Cisco、O2、Vodafone、Linksys、Epson、MSI、Dvrdns、akamai、dlink 等。且这个列表显示的机构还只是所有目标的一小部分。

有关恶意程序的 PHP 档案分析结果，可看到程序会为使用者分流：由恶意程序网站继续进程，或者转接到 Priform（CCleaner 开发者）的服务器。

而黑客的 PHP 程序会根据 IP 地址、MAC 地址、主机名称、网域名称的组合来选定攻击对象，继而发布第二轮有害程序。

Talos 引述 Kaspersky 卡巴斯基研究者的报告，根据程序代码的编写方式，指出这次有害程序的制作者极有机会是黑客组织“Group 72”。

▲ 左边是 CCleaner 被植入的程序，右边是另一个 Group 72 的恶意程序。

Talos 得到黑客曾发布第二轮黑客程序的对象。为了保护该公司私隐，Talos 遮盖了名字。但从列表中得知，黑客已经向超过 20 家企业发布第二轮恶意程序。根据他们的分析，黑客会利用恶意程序攻击有关电脑，或许会令这些机构的电脑瘫痪。建议受影响的电脑应尽快删除有关程序，并重新安装系统软件。

• CCleaner Command and Control Causes Concern

• 
  

文章出处： Unwire HK

你会喜欢

有没有装CCleaner中招的啊？