另外黑客的攻击目标是境外非法博彩网站,至于目的暂时不清楚,不知道是为了搞破坏还是想截留非法资金。
具有专业技能且目标非常明确:
安全公司分析发现黑客使用的工具集比较复杂且属于精心制作的,显然这是个黑客团伙而不是单个黑客行为。
该黑客团伙使用复杂的工作流程实现持久化和自我更新,即感染目标设备后可以随时更新模块实现恶意行为。
攻击目标则主要是位于东南亚的非法博彩网站,目前有不少诈骗团伙躲在东南亚尤其是菲律宾架设博彩网站。
这些网站是黑客的主要目标,但问题在于通常这类非法博彩网站经常被同行攻击,因此安全防御不会特别差。
那黑客怎么打开突破口呢?答案就是冒充金山向向诈骗团伙发送带毒电子邮件,里面包含虚假的 WPS 安装包。
冒充工行 / 腾讯:
虚假的安装包里包含更新程序,黑客利用 WPS 更新程序的漏洞实现通信,可以在目标设备上执行多种操作。
要利用此漏洞需要修改注册表,修改完成完成后黑客可以在目标系统上获得持久性并且可以控制更新过程等。
安全公司分析发现黑客下发的恶意文件通过 update.wps.cn 分发,这域名属于金山但服务器 IP 地址却对不上。
这说明黑客在某些未知环节实现了劫持,让诈骗团伙更新时下载的是恶意文件,恶意文件还冒充各种大公司。
例如有文件使用的签名是腾讯公司,有文件使用的名称是工行的 ICBC,然后再检测是否安装 360 安全卫士等。
这些行为多半用来忽悠诈骗团伙避免未知文件引起关注,检测其他安全软件应该是用来使用对应的应对策略。
比较滑稽的是黑客还使用坚果云网盘来分发内容,蓝点网刚刚测试发现黑客已经将登录账号和密码都修改了。
黑吃黑还是搞破坏:
对 WPS 来说黑客此次利用的漏洞危害还是非常高的,所幸漏洞及时修复且黑客似乎并未向其他目标发起攻击。
至于黑客为何要将目标放在东南亚的非法博彩网站上暂时还不清楚,有可能是黑吃黑也有可能是进去搞破坏。
如果是黑吃黑黑客可能会收集信息想办法将这些非法博彩网站的资金截留然后通过某种方式转到自己的账户。
如果是搞破坏的话估计会在感染后将诈骗团伙的数据删除,但通常这类网站跑路概率也很高说不好就会被抓。
但无论是哪种目的后续的工作都不容易,毕竟感染一台非法博彩网站客服电脑后续还要想办法感染其他设备。
由于安全公司无法找到黑客感染后的工作内容,所以具体是哪种目的以及后续的攻击方法我们是没法知道了。