在数百个组织使用的工具中找到后门

  • 时间:
  • 浏览:44
  • 来源:it300
在数百个组织使用的工具中找到后门

在卡巴斯基实验室的研究人员发现恶意行为者在公司的几个产品中埋下了后门之后,全球许多使用NetSarang连接工具的组织都处于危险之中。

NetSarang在美国设有办事处。国家和韩国,专门从事安全连接解决方​​案。其中一些最受欢迎的产品是Xshell,Xmanager,Xftp和Xlpd。

卡巴斯基在金融领域的一位客户注意到来自NetSarang软件包的可疑DNS请求后发现了这些工具的后门。供应商进行的一项调查显示,Xmanager Enterprise 5(build 1232),Xmanager 5(build 1045),Xshell 5(build 1322),Xftp 5(build 1218)和Xlpd 5(build 1220)的最新版本安全专家认为,攻击者在获得对公司系统的访问权限后,可以修改源代码或修补NetSarang构建服务器上的软件。受影响的版本于7月18日发布,后门仅在8月4日发现。

NetSarang的产品被数百种金融,软件,媒体,能源,电子,保险,工业,建筑,制造,零售业使用,电信,制药和运输公司。然而,卡巴斯基只看到在香港一家公司的系统上激活了恶意有效载荷。

卡巴斯基表示恶意软件可能在其他组织的网络上处于休眠状态,但NetSarang表示已警告反病毒行业所以安全产品已经中和了恶意文件。

卡巴斯基检测到的恶意软件为Backdoor.Win32.ShadowPad.a,通过每八小时发送一次的DNS查询与其命令和控制(C C)服务器通信。请求包含有关受感染计算机的信息,包括用户名,域名和主机名。

如果受感染的系统是攻击者感兴趣的,它们会激活一个完全成熟的后门,可以用来下载和执行其他恶意软件。

“如果后门被激活,攻击者将能够上传文件,创建进程,并将信息存储在受害者注册表中包含的VFS [虚拟文件系统]中。 VFS和代码创建的任何其他文件都经过加密并存储在每个受害者独有的位置“研究人员解释说。”

卡巴斯基说,这次袭击背后的威胁组小心翼翼,不要留下太多证据,但研究人员确实找到了一些与PlugX和Winnti的链接,这些恶意软件被认为是由讲中文的演员开发的

安全公司提供了妥协指标(IoC),以帮助组织检测这些攻击。 NetSarang还发布了一份安全警报,告知客户解决该问题需要采取的步骤。

上个月,NetSarang告知客户,在维基解密公布的文件显示,它已经发布了Xshell的更新。该工具已成为中情局BothanSpy恶意软件的目标。

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01