昆仑山

首页 » 问答 » 问答 » 腾讯安全团队公布驱动人生木马事件始末
TUhjnbcbe - 2023/9/6 21:46:00

12月14日下午,腾讯安全御见威胁情报中心监测到一款通过“驱动人生”系列软件升级通道传播的木马突然爆发,仅2个小时受攻击用户便高达10万。腾讯安全团队第一时间将该病*疫情对外通报、发布安全预警,并连夜发布详细的技术分析报告。

驱动人生公司接到事件预警后,与腾讯安全团队取得联系,并邀请腾讯企业安全应急响应中心协助追查事故原因,同时就该事件向深圳警方报警。双方经过通宵分析及排查,最终确定该事件是一起精心策划的定向攻击事件,所幸该攻击刚开始便被腾讯安全御见威胁情报中心率先拦截查杀,影响并未进一步扩大。

(图:驱动人生公司针对此次事件发布官方声明)

此款病*自12月14日约14点,利用“驱动人生”、“人生日历”等软件最早开始传播,感染用户机器后,会利用“永恒之蓝”高危漏洞在企业内网呈蠕虫式传播,并通过云控下发恶意代码,继而进行收集用户信息、挖门罗币等不法行为。

腾讯安全专家经过分析排查发现,病*作者早在一个多月前,便开始收集驱动人生公司信息,包括办公出口IP,开发运维岗位员工名册和部分服务器内网IP等,并可能嗅探确认了被修改的远程桌面端口。11月12日,一个显示所在地为“荷兰”的可疑登陆源登陆了驱动人生公司的运维跳板机和编译机,基本确认是攻击者通过代理登陆来隐藏痕迹。

11月13日,攻击者对内网段所有机器都发起了SMB爆破。值得注意的是,攻击者在尝试爆破时,使用了4位驱动人生公司的后台开发、运维员工的姓名拼音作为用户名尝试,包括一位已离职约半年的员工。而从爆破开始到结束,全过程用时极短且爆破次数极少,仅20余次,因此腾讯安全专家推测,爆破的密码字典非常有限,反映出攻击者已熟知这些员工信息。11月15日,攻击者使用某运维账号登录到升级服务器.56.77.23;12月4日,攻击者又使用administrator账号再次登录到该升级服务器。

12月5日,攻击者注册了本次攻击中所使用的模仿下载域名ackng.

1
查看完整版本: 腾讯安全团队公布驱动人生木马事件始末