台湾D-Link＆全景安全公司证书被盗，且被APT组织blacktech利用

↑↑点关注呗↑↑点关注呗↑↑

前些日子，jpcert报道了恶意软件plead分析，报告都指向APT组织blacktech，一个长期活跃在亚洲地区的组织。该次事件披露了该组织正在攻击日本的事实，并对plead最新数据通讯手法进行了阐述，详细可点击框框处。

相关链接：APT组织blacktech的plead恶意软件分析

https://blog.jpcert.or.jp/2018/06/plead-downloader-used-by-blacktech.html

而ESET在今日，发布了一篇报告，文中称plead系列均采用了D-Link的合法证书。如下图所示

目前，该证书在2018年7月3日被D-Link撤销，具体公告如下

相关链接：

https://securityadvisories.dlink.com/announcement/publication.aspx?name=SAP10089

除了D-Link证书外，还有一家中国台湾的安全公司证书也被滥用，公司名为全景软件。

如下图Changing Information Technology Inc.

尽管Changing Information Technology Inc.证书于2017年7月4日被撤销，但

BlackTech集团仍在使用它来签署他们的恶意工具。

这也充分说明了该APT组织的技术手段高超，连这些大企业的数字签名证书都能黑过来。

已签名的Plead下载器均会去下一段加密shellcode，最后解密后会再去下载最终的Plead后门模块，具体后门接收的命令后所执行的行为如下

同时，信息窃取模块会主要去窃取以下浏览器所存储的密码信息

Google Chrome

Microsoft Internet Explorer

Microsoft Outlook

Mozilla Firefox

IOC信息

代码签名证书序列号