ESET公司发布报告称,黑客间谍组织 BlackTech 正在滥用盗自台湾公司的代码签名证书传播后门。

BlackTech 技术高超且主要攻击东亚地区尤其是中国台湾地区。这些证书盗自 D-Link 以及安全公司 Changing 信息技术公司,被用于签名后门 Plead。

Plead 攻击活动被指至少活跃于2012年,它常常关注的是机密文档并主要攻击台湾“政府机构”以及私营组织机构。D-Link 证书被盗的证据在于,它被用于签名非恶意的 D-Link 软件而不仅仅是 Plead 恶意软件。

D-Link 接到证书滥用通知后于7月3日将其连同第二个证书撤销。D-Link 在一份安全公告中指出,多数客户应该不会受到证书撤销的影响。

D-Link 公司指出,高度活跃的网间谍组织利用 PLEAD 恶意软件从位于中亚地区尤其是中国台湾、日本和中国香港的公司和组织机构窃取机密信息。

Changing 信息技术公司也位于中国台湾,它于7月4日撤销了遭滥用的证书,但 ESET 公司表示此后这些证书仍被滥用于恶意目的。

恶意软件实施多种恶意目的

签名恶意软件样本还包含用于混淆目的的花指令,而且它们都执行同样的动作:它们要么从远程服务器提取或从本地磁盘加密 shellcode 下载最后的 Plead 后门模块。

PLEAD能从主流 web 浏览器中窃取密码,如 Chrome、Firefox 和 IE 浏览器以及微软 Outlook。

趋势科技公司表示,Plead 后门还能够列出驱动、进程,打开遭攻陷机器上的窗口和文件,通过 ShellExecute API打开远程shell、上传文件、执行应用,并删除文件。

ESET 公司表示,“滥用数字证书是网络犯罪分子掩饰恶意目的的多种方式之一,因为被盗证书可导致恶意软件看似合法应用,从而使恶意软件能在不引起怀疑的情况下增大绕过安全措施的几率。”

使用代码签名证书传播恶意软件并非新鲜事,于2010年被发现的“震网”蠕虫就很好地说明了威胁人员能长期参与此类实践。“震网”蠕虫是首个针对关键基础设施的恶意软件,它利用的是盗自台湾技术公司 RealTek 和 JMicron 公司的数字证书。

本文由360代码卫士翻译自SecurityWeek

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。