早前被駭客入侵,在官方網站提供的下載裡面,混入有害程式的 CCleaner,被 Cisco 旗下的保安部門 Talos 查證了該等有害程式的實際攻擊對象。目前 CCleaner 已經推出最新版本,用戶只要剷除原程式,再安裝新版便可解決問題。但專家建議 Intel、Sony、Samsung、Microsoft 等大機構的電腦,需要重新格式化硬碟,並重新安裝 OS 作業系統。
今次由 Cisco 旗下的保安部門 Talos 解構被植入 CCleaner 的有害程式。Talos 指出,這些有害程式的攻擊對象,是特定的大企業,屬於目標攻擊型的有害程式。他們建議安裝了 32bit 版 CCleaner v5.33.6162 以及 CCleaner Cloud v1.07.3191 的大企業用戶,將系統硬碟格式化,然後再重新安裝 OS 系統軟件。
Talos 分析了這個有害程式連接的 C2 伺服器所殘留的資料,伺服器會根據所屬電腦的網域,進一步發佈第二輪有害程式。受影響機構包括: Singtel、HTC、Samsung、Sony、Gauselmann、VMware、Intel、Microsoft、Cisco、O2、Vodafone、Linksys、Epson、MSI、Dvrdns、akamai、dlink等等。而且這個列表顯示的機構還只是所有目標的一小部份。
有關有害程式的PHP檔案分析結果,可看到程式會為使用者分流:由有害程式網站繼續進程,或者轉接到 Priform(CCleaner開發者)的伺服器。
而駭客的PHP程式會根據 IP 位址、MAC位址、主機名稱、網域名稱的組合來選定攻擊對象,繼而發佈第二輪有害程式。
Talos 引述 Kaspersky 卡巴斯基研究者的報告,根據程式碼的編寫方式,指出這次有害程式的製作者極有機會是駭客組織「Group 72」(下圖左手邊是CCleaner被植入的程式,右手邊是另一個 Group 72 的有害程式)。
Talos 得到了駭客曾發佈第二輪駭客程式的對象。為了保護該公司私隱,Talos 遮蓋了他們的名字。但從列表中得知,駭客已經向超過 20 家企業發佈過第二輪有害程式。根據他們的分析,駭客會利用有害程式對有關電腦進行攻擊,或許會令這些機構的電腦癱瘓。建議受影響的電腦應盡快刪除有關程式,並重新安裝系統軟件。
資料來源:talosintelligence.com