首页 > 遊戲

卡巴斯基:除華碩外至少還有6傢公司受到瞭影錘行動攻擊_遊戲

作者:太平洋電腦網来源: 遊戲 2019-05-06 09:50:21 影錘   攻擊   遊戲   服務公司   系統   行動   黑客   用戶   一傢   階段

原標題:卡巴斯基:除華碩外至少還有6傢公司受到瞭影錘行動攻擊

PConline資訊】在深入調查後卡巴斯基表示,華碩並非是影錘(ShadowHammer)攻擊行動的唯一受害者,至少還有6傢其他組織被攻擊者滲透。除瞭華碩之外,卡巴斯基表示還有來自泰國的遊戲發行商ElectronicsExtreme、網頁&IT基礎服務公司InnovativeExtremist、韓國遊戲公司Zepetto,另外還有來自韓國的一傢視頻遊戲開發商、一傢綜合控股公司和一傢制藥公司。

影錘(ShadowHammer)攻擊行動在最初是在華碩的升級服務中發現的新型供應鏈攻擊方式。華碩電腦一般都默認預裝瞭華碩的LiveUpdateUtility軟件,用於更新華碩電腦專用的驅動、軟件、BIOS和補丁等,用戶在使用該軟件更新時可能會安裝植入後門程序的軟件更新包。黑客疑似入侵控制瞭華碩的更新服務,篡改使用合法證書簽署的安裝包,在官方給用戶推送的升級軟件包中加入瞭惡意代碼。

在隨後的深入調查中卡巴斯基的安全專傢找到瞭很多采用類似算法的攻擊特征,以及使用有效和合法證書簽署的其他惡意程序樣本,最終表明華碩並非唯一一傢受到影錘(ShadowHammer)攻擊,滲透IT基礎設施的公司。專傢發現瞭類似於華碩的惡意攻擊樣本,使用類似的算法來計算API函數的哈希值,並且在所有惡意樣本中廣泛使用IPHLPAPI.dll文件。

除瞭華碩之外,卡巴斯基還發現瞭來自其他三傢亞洲遊戲公司也是本次攻擊的受害者,包括

● ElectronicsExtreme:僵屍生存遊戲《感染:幸存者故事》(Infestation:SurvivorStories)的開發商

● InnovativeExtremist:一傢提供Web和IT基礎服務的公司,但同時也從事遊戲領域的開發

● Zepetto:開發視頻遊戲《特戰先鋒》(PointBlank)的韓國遊戲公司

除瞭上述三傢遊戲公司之外,卡巴斯基還表示發現瞭三傢被成功滲透的韓國企業,包括一傢視頻遊戲開發商、一傢綜合控股公司和一傢制藥公司。目前卡巴斯基的研究人員仍在警告他們,他們也是ShadowHammer行動背後黑客組織發起的供應鏈攻擊的受害者。

據悉影錘(ShadowHammer)攻擊行動分為兩個階段:

第一個階段是無差別的大規模攻擊,黑客針對所有的華碩用戶推送惡意升級包,用戶安裝惡意升級包後都會啟動黑客植入的惡意代碼,等待進入第二個階段。

第二個階段是針對性的定向攻擊,隻針對數百個目標用戶,惡意代碼會獲取用戶機器的MAC地址與數百個MAC地址比對,一旦匹配成功就會連接黑客的服務器激活更多的惡意代碼。

在成功入侵受害者系統之後,用作惡意軟件刪除程序的木馬化遊戲將首先檢查是否有多個流量/處理器監視工具正在運行,或者系統語言是否設置為簡體中文或俄語。如果檢測到上述任何一項為真,那麼後門將會自動停止執行。

如果成功通過瞭系統審查階段,那麼

惡意軟件將開始收集系統信息(網絡適配器MAC地址,系統用戶名,系統主機名和IP地址,Windows版本,CPU架構,當前主機FQDNm,域名,當前可執行文件名,驅動器C:卷名稱和序列號,屏幕分辨率和系統默認語言ID)

在下一個感染階段,所有信息都通過HTTP通過POST請求發送到C&C服務器,然後後門將發送GET請求以接收命令。

發現瞭以下命令:

DownUrlFile -將URL數據下載到文件

DownRunUrlFile -將URL數據下載到文件並執行它

RunUrlBinInMem -下載URL數據並作為shellcode運行

UnInstall -設置註冊表標志以防止惡意軟件啟動

UnInstall命令將註冊表值HKCUSOFTWAREMicrosoftWindows{0753-6681-BD59-8819}設置為1,這可防止惡意軟件再次與C2聯系。沒有文件從磁盤中刪除,文件應該可以通過取證分析發現。

转发到
留言与评论(共有 0 条评论)
   
验证码:
未经授权禁止转载、摘编、复制或建立镜像,如有违反,追究法律责任。 技术支持与报障:联系我们
溫習吧頭條新聞所有视频均链接到各大视频网站播放,本站不提供任何视听上传服务,如有异议请与我们取得联系。