云办公软件潜藏“毒坑”官网接连背锅

  年初一场突发的疫情,将办公族们的办公场地从公司变为家中,平日面对面的工作交流也都变成了线上沟通。在此期间,云办公、云流程实力出圈,强大的远程协作体验受到了广大用户的极力追捧。然而“树大招风”,随着云办公的使用热度日益高涨,黑客组织也皆闻风而来,企图从中大捞一把。

  近期,360安全大脑就借助全网信息,感知到有着大量用户的云办公软件明道云,官网下载链接惨遭劫持。当用户点击官方网站的下载链接后,下载的却是经过伪装的木马安装包。经360安全大脑结合用户被攻击信息分析,初步判定这一狸猫换太子的把戏,源于明道云部分下载服务器失陷。

  针对此次“藏毒“事件,360安全大脑第一时间通知明道云,目前,明道云官网和软件已恢复安全,可正常下载使用。此外,360安全大脑已独家拦截该木马攻击,广大用户也可尽快下载安装360安全卫士,保护个人数据及财产安全。

  随着网络安全防护技术的完善,黑客团伙想利用传统攻击手段非法获利,可谓愈发艰难。而针对供应链发起的网络攻击,则通过利用用户对于正版软件供应商的信任,让成功率实现几何式增长;另外,只要黑客成功攻陷一家软件供应商,就可以直接获取大量用户数据,尤其当这些用户是以企业为单位时,足以让其“要不不开张,开张吃一年”。

  经在全网海量历史数据中进行溯源追查后,360安全大脑发现该黑客团伙至少从2019年5月起就已经开始作案,主要采取投放钓鱼木马和直接渗透攻击,并窃取了某些公司的数字证书,导致后续散播的木马程序具有了正规公司的数字签名。

  在360安全大脑捕获到该例供应链攻击后,发现其木马具有正常公司的数字签名,乍一看还会误认为其“出身清白”。而事实是黑客团伙重打包了明道云2.0.3版本的安装包,并打上了签名“西安星空互动软件开发有限公司”。

  接着双击运行木马安装包,360安全大脑还发现安装目录多出一个同样非明道云官方签名的hid.dll模块(如下图所示),除此之外的明道云文件全部正常,排查后发现这是针对明道云主程序MingDaoClould.exe的DLL劫持。而签名处无奈背锅的“西安星空互动软件开发有限公司” 所属一家制作游戏加速器的公司,很可能是黑客团伙盗用的数字证书,实与明道云毫无关系。

  360安全大脑还对DLL文件进行了分析,发现其功能主要是判断用户的本之后释放一个BAT脚本文件(如下图所示),这个脚本首先用C#编译器编译生成一个木马下载器,然后将下载链接以参数的方式传递给下载去执行,最后清理现场。

  从木马生成的批处理脚本可以看到它联网获取了一个名为logo.png的图片,然而实际上这是一个可执行程序。

  该程序会联网获取一个尾部携带shellcode的图片,然后查找桌面进程(“explorer.exe”)并注入执行shellcode,其具体功能就是建立一个连接到黑客团伙的后门通道,等待接收控制指令。

  本着对于木马病毒的零容忍态度,360安全大脑不能坐视这种破坏正常软件信任的事件发生。根据已有的信息在海量历史数据中进行溯源检索显示,该团伙至少从2019年5月份起就已经开始通过渗透、钓鱼等手法接连作案。

  2019年5月23日,某企业员工遭到钓鱼攻击,接收了名为“简历.exe”的文件后表现出受害者特征。

  该钓鱼文件的图标伪装成系统文件夹的样式,很容易迷惑普通用户导致中招,实际上它是一个木马下载器。(如下图所示)

  2019年9月7日,某用户电脑遭到渗透攻击,后续黑客团伙手工投放木马下载器“formdl.exe”进行后续攻击,该木马会在内存解密执行联网获取的shellcode进行后续攻击。相关代码大致如下图所示。

  在后续攻击中还发现了具备正常签名的木马程序,这说明黑客团伙不是第一次盗用他人公司的正版数字证书了,除了“西安星空互动软件开发有限公司”还盗用“Xiamen Tongbu Networks Ltd.”来签发恶意程序,损害数字签名可信度。

  2019年9月16日,某游戏行业人员遭到钓鱼攻击,收到了钓鱼文件“201909.exe”,行为与上文“简历.exe”类似。

  2019年12月16日,某金融行业人员的电脑上,木马文件随系统服务开机启动。

  2020年4月10日,明道云某用户遭遇针对性钓鱼攻击,用户启动了钓鱼文件之后,黑客会查找明道云的安装目录并释放文件“version.dll”到其根目录下。

  文件“version.dll”会对明道云的主程序形成DLL劫持,每当用户启动明道云的时候就会随之加载执行,它的具体功能是和前文的“hid.dll”一样最终注入桌面留下后门。

  2020年4月27-28日,明道云官网下载链接被劫持,多例用户电脑被感染。

  与明道云官方沟通后,360安全大脑认为,2020年发生的这三起攻击并没有发现直接联系。

  从追踪溯源得到的信息不难看出,这个黑客团伙一开始并没有什么具体的目标,受害者涉及各行各业,各个受害者之间明显都没什么关系,但是此次针对明道云的攻击持续了一个多月,与之前打一枪换一个地方的风格相比发生了很大的变化。

  对此,360安全大脑在整合后进行了关联与分析,发现这与明道云的独特属性关系密切。

  明道云的服务对象主要是企业用户,而企业的高性能服务器对于黑客团伙来说一直都很有吸引力。

  其次则是明道云的软件特点,明道云作为一个生产力工具,普通业务人员就能进行开发,门槛低,开发数量多,带着病毒的新模块快速形成二次扩散攻击。

  基于以上两点,不难看出黑客团伙认为明道云完全值得他们花费更多的时间和精力去攻击并挖掘潜在价值。

  由此可见,随着各类云办公软件逐渐成为办公族们的工作首选,随之而来的网络安全问题也将如同雨后春笋般,油然而生。但360安全大脑通过多种技术手段防御和发现最新木马病毒,且已率先实现对该类木马的查杀,为避免此类攻击的感染态势进一步扩大,360安全大脑建议:

  3、使用360软件管家下载软件,360软件管家收录万款正版软件,经过360安全大脑白名单检测,下载、安装、升级,更安全。

  特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。

  6 月 4 日消息 据中国台湾媒体 Digitimes 报道,消息人士称,除三星显示器和 LG 显示器外,中国面板...

  年初一场突发的疫情,将办公族们的办公场地从公司变为家中,平日面对面的工作交流也都变成了线上沟...

  6 月 4 日消息 据外媒 GSMArena 报道,摩托罗拉 Razr 2020 折叠屏手机将配备一个更大的显示屏。

  去年11月,联想推出了口红电源mini,采用45W功率,可折叠插头设计,售价199元,首发价99元.

  端午节马上来了,对采购人来说,节日的福利采购也进入了高峰期。今年端午采购季遇上了年中大促618,...

  6 月 4 日消息 根据外媒 TechPowerUp 的消息,惠普推出了便携式 SSD P500,1TB 容量,价格暂未公布...

  6 月 4 日消息 据外媒报道,近期一款 24 核 48 线程的 ES 处理器现身 Geekbench 数据库。由跑分信息...

  家家户户都有厨房,只要是有做菜的需求,那对于做菜产生的油烟问题必然是要引起重视的。现在市面上油...

  经过几年热潮后,AI创业和投资逐渐回归理性。AI企业从最初的单纯比拼算法,到如今进入技术落地争霸...

  当疫情为国内经济按下了“暂停键”之后,直播带货却如以火箭般的速度迅速火热了起来。先...

  6 月 4 日消息 统信软件官方微信公众号消息,今日统信软件官方宣布,360 安全卫士正式入驻统信 UOS ...

  6 月 4 日消息 今日 360 安全卫士官方宣布,360 安全卫士已可对今年 3 月 12 日曝光的 Windows 10 ...

  今天,阿里巴巴宣布淘宝App上线“小时达”业务。以后,在淘宝上就可以逛周边的超市、水果...

  作为疫情缓解后的第一个电商大促,618备受期待。6月1日开门红,苏宁汽车四大业务版块全线飘红,其中...

  作为主打商务市场的高端旗舰手机,华为Mate系列自问世以来就受到广大职场商务人士的青睐。近年来这一...

  618电商节即将到来,以京东为代表的一众电商平台纷纷开启降价促销,可见“真香季”已经开始...

  CES 2020展前发布会上,索尼带来全新Z8H 8K电视。这款新品不仅新增75英寸版本,还实现了“边框发...

  初夏来临,新的季节,新的烦恼,下面这些“翻车现场”,相信每个人或多或少都碰到过&mdas...

  KOOV®是索尼国际教育公司于2017年2月推出的编程机器人品牌。以KOOV可编程教育机器人套件切入,...

  6 月 4 日消息 新的 Android 11 让应用安装 APK 变得不那么方便,需要重新启动相关应用,这与新的强...

上一篇:搜狗学术
下一篇:“白武士”雷军撤了!他曾用小程序和“故乡的

 

相关资讯 Releva ntnews
热点资讯 Hot spot
云办公软件潜藏“毒坑”官网接连背锅
服务热线

http://www.sanjimao.com

真钱捕鱼,真钱捕鱼平台,真钱捕鱼官网,真钱捕鱼网站,真钱捕鱼app 版权所有

网站地图