新闻快讯
< >

中国黑客被指与西方航空航天公司遭RAT入侵有关

E安全10月22日讯 网络安全公司Cylance发博文表示,与中国高级黑客组织Winnti存在“重大”关联的威胁攻击者近期对西方某航空航天公司发起攻击。

航空航天遭到“Hacker’s Door”木马攻击

Cylance称在近期一起事件响应中发现,威胁攻击者利用远程访问木马(RAT)“Hacker’s Door”入侵某航空航天公司。“Hacker’s Door”可追溯到2004年,但由于过去十年经过断断续续地改进、升级及售卖,研究人员很少发现它。

Cylance的Tom Bonner(汤姆·邦纳)表示,该事件与中国APT组织有关联的线索源于被盗取的证书,其关联点在于该证书为中国黑客组织Winnti所用。Tom Bonner称这种关联对确定归因相当重要。

图片.png

中国开发人员“yyt_hac”在售卖这款RAT,并要求买方勿利用该工具从事非法活动。

Hacker’s Door功能强大

最新版Hacker’s Door支持64位系统。这款RAT包含后门和Rootkit组件,激活后便会执行一系列远程命令:

  • 收集系统信息;

  • 抓取截图和文件;

  • 下载其它文件;

  • 运行其它进程和命令;

  • 列出并结束进程;

  • 打开Telnet和RDP服务器;

  • 提取当前会话的Windows凭证。

Cylance研究人员解释称,攻击者未来很有可能利用这款工具发起针对性攻击,因为这款工具具备的高级功能及其易用性使其不失为一款最佳RAT。

研究人员认为中国开发人员“yyt_hac”黑化

Bonner表示,这款RAT的作者还创建了另一款恶意软件“yt_hac’s ntrootkit”(其宣称包含另一款针对Windows内核的旧版后门)、“Ghost Shield 1.0”工具(声称是木马防火墙),和其它通用工具。

图片.png

Bonner还指出,中国开发人员“yyt_hac”在某个时间现身网络开启“黑化”之路,2005年左右销声匿迹,2015年再现江湖。但这与此前“要求买方勿利用该工具从事非法活动”相矛盾。

Cylance未提供有关这起入侵、受害者或渗透者的其它详情。

Cylance对这款RAT的分析博文,请戳

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。