隐藏在CCleaner的恶意软件有针对性的技术公司
在供应链妥协中释放之前,几家主要技术公司由注入到Avast拥有的芯片CCleaner软件中的恶意代码。
本周早些时候,Piriform仅说CCleaner的32位版本的v5.33.6162和Ccleaner云的V1.07.3191受到影响。
该公司表示已经解决了这个问题,相信任何用户都没有伤害,因为命令和控制(CC)服务器已被关闭,并且没有指示恶意代码已被执行,但研究人员已找到除此以外。
据Avast和Cisco Talos的研究人员说,恶意软件成功交付给20个似乎被感染的70,000台计算机中的选择目标。
“鉴于CCleaner是一种消费者为导向的产品,这是一个典型的浇水孔攻击,绝大多数用户对攻击者无趣,但选择的是,”Avast研究人员说。
然而,他们说,因为CC Log数据已经恢复只有31天中的3个,CCleaner Backdoor处于活动状态,所感染的计算机的总数是“可能至少按数百次”。
Cisco Talos CC服务器数据显示,目标组织包括英特尔,谷歌,微软,Akamai,三星,索尼,VMware,HTC,Linksys,D-Link和Cisco本身。
根据最新的Avast博客文章,另外四个属于“两家公司”的域名也是针对性的,但研究人员表示,他们不想透露这些公司的名称,因为它们可能受到攻击。
Avast研究人员表示,所有相信已被曝光的公司已被通知已通知已接触恶意软件有效载荷。
虽然Avast研究人员未命名攻击者,但到目前为止他们的调查已经确定了注入CCleaner和Apt17 / Aurora恶意软件的代码与2014年和2015年的APT17 / Aurora恶意软件之间的相似之处。
“一些功能几乎相同,而其他功能具有部分匹配,但结构整体非常相似,”Avast研究人员表示。
他们还指出,虽然有针对性公司列表包括几家亚洲公司,但从中国没有来自中国的时间,喂食数据库的PHP脚本被设定给人民共和国中华人民共和国(中国)。
然而,即使有了所有这些线索,研究人员都说:“在这个阶段是不可能宣称攻击来自哪个国家的国家,仅仅因为所有数据点都很容易伪造,以隐藏犯罪者的真实位置。”
据Avast研究人员称,仍在调查供应链攻击和追捕肇事者。
“与此同时,我们建议将下载受影响的版本的用户升级到最新版本的CCleaner并用一个良好的安全软件执行扫描他们的计算机,以确保没有其他威胁在其PC上潜伏,”他们说。
Cisco Talos Research团队是建议所有下载受损的CCleaner版本的人来擦除他们的计算机。
“因为恶意软件仍然存在,即使在用户更新CCLeaner软件之后,受影响的用户也应在8月15日之前从机器上删除并重新安装文件和数据以及从8月15日之前进行的备份。”
Cisco Talos研究人员认为,删除CCleaner软件和相关恶意软件的受损版本至关重要,因为其结构意味着它能够隐藏在用户的系统上并呼叫以检查最多一年的新恶意软件更新。
CCleaner妥协再次突出了供应链妥协的安全问题。
“供应链攻击是将恶意软件分发到目标组织的非常有效的方法。这是因为随着供应链攻击,攻击者依靠制造商或供应商和客户之间的信任关系,“思科·塔罗斯研究队在Ablog Post中表示。
2017年6月,微软确认,在某些情况下,在某些情况下,NotpetyAlijacked M.Doc税务会计软件的自动更新设施被广泛应用于乌克兰,这就是为什么该国特别困难的原因。