2家臺灣IT廠商憑證遭竊,並被Plead後門程式濫用

原文: https://www.ithome.com.tw/news/124427

最近,ESET研究團隊在惡意軟體樣本中,發現駭客使用了由D-Link與全景軟體(Changing Information Technology Inc.)簽署的憑證,這2間公司已先後在7月3日與4日撤銷憑證。


ESET資深研究員Anton Cherepanov指出,在最近出現惡意軟體的樣本中,ESET研究團隊發現,其中包含了由D-Link與全景軟體(Changing Information Technology Inc.)簽署的憑證,這2家公司獲報後,已經先後撤銷他們所簽署的憑證。

ESET研究團隊從近期的惡意軟體中,發現由D-Link署名的憑證,經對比後,確認與D-Link自行發行的軟體所使用的憑證相同。他們通知D-Link後,該公司也展開調查,並在7月3日註銷憑證。

根據調查,不光是D-Link的憑證遭竊,研究團隊發現有2個惡意軟體家族, 都濫用了遭竊的憑證,其中另一種是冒用全景軟體所署名的憑證。

這些惡意軟體樣本的另一個共通點是,它們都同屬Plead後門程式,主要的用途是竊取密碼。Anton指出,近期JPCERT特別針對這種後門程式家族,發布分析報告,並引用趨勢科技的資料指出,使用這些樣本的幕後攻擊者,是BlackTech網路間諜組織。

雖然全景軟體獲報後,也在7月4日註銷憑證,不過Anton表示,BlackTech仍在使用這些憑證簽署他們的惡意軟體。

Anton認為,BlackTech能夠盜取這些臺灣IT廠商的憑證,並實際應用於攻擊上,表示這個團體不僅具備高度技能,目標也鎖定在亞太地區。此外,在ESET研究團隊的樣本分析中,發現這些Plead後門程式會從Chrome、IE、Firefox瀏覽器,以及Outlook電子郵件軟體裡,收集已經儲存的密碼。


企業伺服器憑證, 程式碼簽章, 金鑰保護 請使用 Thales nShield HSM

 

硬體安全模組(HSM)

資料安全需要硬體加密設備—nCipher HSM

與我們連絡

回首頁