CCleaner二轮攻击至少感染40台科技巨头企业的计算机设备

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

    安全公司 Avast 于近期公布了一份受到清理软件 CCleaner 第二阶段恶意后门影响的公司列表,其作为对上周发生 CCleaner 攻击事件持续调查的一部分说明。相关调查显示,研究人员于 9 月 10 日发现与 CCleaner 连接的数据库因空间不足出现宕机状态,因此服务器仅包含 9 月 12 日至 16 日的感染数据。不过,攻击者却在服务器崩溃前已在另一台服务器上备份了数据库信息。

9ea86fceba72a1e

清理软件 CCleaner

    研究人员表示,攻击者托管在第二台服务器的主机供应商与第一台相同,均由 ServerCrate 提供支持。随后,Avast 在相关部门的帮助下获取并成功掌握 CCleaner 恶意软件在服务器上发送受感染主机信息的数据库资料,这意味着研究人员拥有受 CCleaner 恶意软件(第一和第二阶段有效负载)影响的所有主机列表(服务器宕机的 40 小时内除外)。

    相关数据显示,逾 160 万台计算机感染第一阶段的恶意软件 Floxif 并上报至 C&C 服务器后,研究人员经过严格过滤筛选后发现,逾 160 万台计算机中存有 40 台隶属科技巨头企业的计算机感染了第二阶段恶意软件。

ccleaner-list-affected-2ndstage

受 CCleaner 第二阶段恶意后门影响的设备信息

    此外,研究人员还从备份服务器检索的过滤规则中发现,攻击者在 9 月 10 日之前已针对不同公司设备分发恶意软件,如 HTC、Linksys、Epson、Vodafone、Microsoft 等。随后,Avast 在官方博客表示,该起攻击活动主要针对特定的科技巨头企业与电信公司展开攻击,其主要利用 CCleaner 恶意软件感染用户后选择性针对目标开展二轮攻击。

    目前,研究人员发现该款恶意软件的 PHP 代码、myPhpAdmin 日志等资料与 Axiom 类似,因此他们推测该起攻击事件与中国 APT 组织有关。不过,研究人员在分析了两台服务器上的所有登录信息后发现,攻击者活跃时间并非 UTC+8,因此暂时无法确认幕后黑手真正身份。

转自 HackerNews.cc

标签: isp 安全 代码 服务器 企业 数据库 选择 用户

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:Brother打印机出厂设置无密码保护致设备系统在线暴露

下一篇:火绒完成Pre-A轮融资 终端安全再成焦点