BlackTech盗用D-link数字证书来签署恶意软件

一个名为BlackTech的APT组织利用从D-Link窃取的有效数字证书来签署他们的恶意软件,伪装成合法应用程序。

       ESET的安全专家发现,APT组织BlackTech正在利用从台湾的D-Link制造商和Changing信息技术公司处窃取的有效数字证书。据专家介绍,该组织技术娴熟,在东亚地区尤其是台湾已经出现大量的受害用户。

       黑客利用Plead(一个从2012年就开始利用有效证书签署其代码来伪装的恶意软件)来窃取台湾政府机构或一些企业的机密文件。

       经过有效数字签名的Plead后门使用垃圾代码高度混淆:通过从远程服务器下载或从本地磁盘打开一个小的加密二进制blob。此blob包含一个加密的shellcode,可下载最终的Plead后门模块。

       ESET发布的分析报告中表示,“我们最开始是发现系统中存在多个可疑文件,经过分析,发现这是一系列恶意软件。有趣的是,这些可疑文件都使用D-Link制造商的有效数字证书进行了数字签名,看起来完全是合法的。所以,我们有理由怀疑证书被盗。”

BlackTech APT

ESET向D-Link制造商通报了该问题,D-link制造商在7月3日撤销了被盗的数字证书,并通知其客户。

      D-Link公司发表公告:“接到有关单位反映,D-Link中的两个数字证书已被黑客盗用。一发现问题,我们立即撤销了证书并开始着手调查。”

       与亚洲其他几家公司一样,D-Link是APT组织BlackTech的受害者,该组织一直使用PLEAD恶意软件从东亚的政府机构和企业处窃取机密文件。目前出问题的数字证书已在7月3日被撤销,另外也颁发新的数字证书替代。

总部位于台湾的Changing信息技术公司,也于7月4日撤销了被盗用的数字证书,但据ESET称,黑客仍在利用它来传播恶意软件。

       ESET本次发现两个不同系列的恶意软件盗用了数字证书,除了Plead后门还有一个是密码窃取程序,该密码窃取程序是从谷歌浏览器、IE浏览器、火狐浏览器及Outlook收集用户保存的密码。

为什么黑客要窃取数字证书?

       黑客使用有效的数字证书对恶意软件进行签名,试图使恶意软件像合法应用程序一样绕过安全措施。

       这不是黑客第一次使用有效的数字证书来签署他们的恶意软件。2003 年针对伊朗核加工设施的 Stuxnet 蠕虫也使用了同样的手段,它是盗用了RealTek和Jmicron的数字证书。