植入CCleaner的後門程式已感染逾200萬台電腦，微軟、HTC、友訊、微星疑遭鎖定

本周Avast旗下知名系統清理軟體CCleaner被發現遭植入後門程式，致上億用戶有電腦機密資料外洩之虞。不過實際情況可能比這更嚴重；研究人員發現，其中潛藏的惡意程式已感染200多萬台電腦，受害者甚至包括微軟、思科、三星，以及微星、友訊、HTC等20家知名公司。
 
透過廣受歡迎的CCleaner 5.33.6162版散佈的攻擊程式，是一個2階段下載的APT（Advanced Persistent Threat）攻擊手法，並與外部C&C伺服器建立連結。Avast Security及Cisco Talos研究人員原本以為還未發生，但在拿下C&C伺服器取得其資料後分析發現，它已經開始向外擴散。
 
Avast指出，在8月15日到9月15日之間全球共227萬台電腦受到影響。從三天的C&C伺服器紀錄來看，來自8個組織的20台電腦收到第2階段的指令，實際收到第2階段命令的電腦數量可能有數百台。

Avast研究人員認為這波攻擊鎖定台灣、日本、英國、德國及美國的大型科技業、電信公司，但不願意公開揭露名單，僅個別私下通知這些公司。

Cisco Talos的研究人員僅採樣9月的4天C&C伺服器連線紀錄，根據研究人員貼出的螢幕截圖（下圖，來源：Talos），包括微軟、思科、HTC、微星、友訊、英特爾、VMware、三星、Sony、Google/Gmail等在清單上。

從9月12日到15日的4天，C&C伺服器的資料即顯示有超過70萬台電腦和其連線。電腦中的重要資訊，包括IP位址、上線時間、主機及網域名稱等都已悄悄傳回外部伺服器，而讓攻擊者決定下一階段準備攻擊哪些機器。而這段採樣的時間，至少20台電腦收到第二階段的指令，顯示是有目標性的攻擊行動。  

研究人員發現，第2階段攻擊程式相當複雜，目前只知它使用的是另一個C&C控制網路，而且包含第3階段的無檔案（fileless）攻擊，會在受害電腦記憶體中注入惡意程式。但因為大量運用反偵錯（anti-debugging）及防模擬的手法隱藏其內部架構，研究人員正在和執法單位還在努力解析中。
 
至於背後攻擊者也還不得而知。但Talos發現該後門程式部門程式碼和一個與中國有關的駭客活動有重疊之處，而且從該C&C伺服器使用的時區研判，可能和中國有關。