圖片來源: 

ESET WeLiveSecurity部落格

ESET資深研究員Anton Cherepanov指出,在最近出現惡意軟體的樣本中,ESET研究團隊發現,其中包含了由D-Link與全景軟體(Changing Information Technology Inc.)簽署的憑證,這2家公司獲報後,已經先後撤銷他們所簽署的憑證。

ESET研究團隊從近期的惡意軟體中,發現由D-Link署名的憑證,經對比後,確認與D-Link自行發行的軟體所使用的憑證相同。他們通知D-Link後,該公司也展開調查,並在7月3日註銷憑證。

根據調查,不光是D-Link的憑證遭竊,研究團隊發現有2個惡意軟體家族, 都濫用了遭竊的憑證,其中另一種是冒用全景軟體所署名的憑證。

這些惡意軟體樣本的另一個共通點是,它們都同屬Plead後門程式,主要的用途是竊取密碼。Anton指出,近期JPCERT特別針對這種後門程式家族,發布分析報告,並引用趨勢科技的資料指出,使用這些樣本的幕後攻擊者,是BlackTech網路間諜組織。

雖然全景軟體早在2017年7月4日註銷憑證,不過Anton表示,BlackTech仍在使用這些憑證簽署他們的惡意軟體。

Anton認為,BlackTech能夠盜取這些臺灣IT廠商的憑證,並實際應用於攻擊上,表示這個團體不僅具備高度技能,目標也鎖定在亞太地區。此外,在ESET研究團隊的樣本分析中,發現這些Plead後門程式會從Chrome、IE、Firefox瀏覽器,以及Outlook電子郵件軟體裡,收集已經儲存的密碼。


Advertisement

更多 iThome相關內容