黑客使用被盗 D-Link 证书签名恶意软件

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

ESET公司发布报告称，黑客间谍组织BlackTech正在滥用盗自台湾公司的代码签名证书传播后门。

BlackTech 技术高超且主要攻击东亚地区尤其是中国台湾地区。这些证书盗自 D-Link 以及安全公司 Changing 信息技术公司，被用于签名后门 Plead。

Plead 攻击活动被指至少活跃于2012年，它常常关注的是机密文档并主要攻击台湾“政府机构”以及私营组织机构。D-Link 证书被盗的证据在于，它被用于签名非恶意的 D-Link 软件而不仅仅是 Plead 恶意软件。

D-Link 接到证书滥用通知后于7月3日将其连同第二个证书撤销。D-Link 在一份安全公告中指出，多数客户应该不会受到证书撤销的影响。

D-Link 公司指出，高度活跃的网间谍组织利用 PLEAD 恶意软件从位于中亚地区尤其是中国台湾、日本和中国香港的公司和组织机构窃取机密信息。

Changing 信息技术公司也位于中国台湾，它于7月4日撤销了遭滥用的证书，但 ESET 公司表示此后这些证书仍被滥用于恶意目的。

恶意软件实施多种恶意目的

签名恶意软件样本还包含用于混淆目的的花指令，而且它们都执行同样的动作：它们要么从远程服务器提取或从本地磁盘加密 shellcode 下载最后的 Plead 后门模块。

PLEAD能从主流 web 浏览器中窃取密码，如 Chrome、Firefox和 IE 浏览器以及微软 Outlook。

趋势科技公司表示，Plead 后门还能够列出驱动、进程，打开遭攻陷机器上的窗口和文件，通过 ShellExecute API打开远程shell、上传文件、执行应用，并删除文件。

ESET 公司表示，“滥用数字证书是网络犯罪分子掩饰恶意目的的多种方式之一，因为被盗证书可导致恶意软件看似合法应用，从而使恶意软件能在不引起怀疑的情况下增大绕过安全措施的几率。”

使用代码签名证书传播恶意软件并非新鲜事，于2010年被发现的“震网”蠕虫就很好地说明了威胁人员能长期参与此类实践。“震网”蠕虫是首个针对关键基础设施的恶意软件，它利用的是盗自台湾技术公司 RealTek 和 JMicron 公司的数字证书。

https://www.securityweek.com/hackers-using-stolen-d-link-certificates-malware-signing