360截获医药行业木马间谍幕后黑客疑似电影迷新日

发布时间：2020-01-16 02:25:22 阅读：次来源：水泥厂家

7月25日消息，据360互联网安全中心披露，跨国生物制药企业凯莱英医药集团官网近期遭黑客入侵，其官网中英文站点均嵌入恶意代码，向凯莱英员工或来访客户电脑植入木马后门。技术分析表明，该木马传播时综合采用了六种软件漏洞进行变形免杀，能避开绝大多数杀毒软件的拦截，很可能是瞄准医药行业窃取商业机密的APT攻击(针对特定目标的高级持续性威胁)。

图：360安全卫士第一时间拦截凯莱英官网挂马攻击

据悉，凯莱英医药集团是生物医药行业知名的跨国企业之一，为各大国际制药企业提供药物研发生产专业化服务，以帮助制药公司缩短新药开发周期。近年来，高科技领域企业频繁遭遇黑客APT攻击，例如IE“极光”攻击入侵Google，RSA SecurID种子文件被黑客窃取等事件，此次凯莱英官网被挂马证明医药行业也面临着严重的黑客威胁。

360分析发现，凯莱英官网被黑客利用IE(三个漏洞)、Office、Adobe PDF Reader和Java运行环境(JRE)的六个漏洞组合挂马，对访问者电脑植入木马后门。虽然这些漏洞大多已在2013年得到官方修复，但由于黑客对漏洞攻击样本进行了变形免杀，根据多引擎在线扫描网站VirusTotal检测，40余款各国反病毒引擎中，无一能够全部检测出此次凯莱英官网的漏洞攻击样本和木马后门。

值得注意的是，黑客为木马服务器使用了Monica.brb.dj、juliavoth.cn.mu、sammihanratty.uni.cx三组域名，都是以国外知名女影星命名，分别代表莫妮卡•贝鲁奇、朱莉娅•沃斯和赛米•汉拉缇，由此推测该木马幕后黑客是个电影迷，木马服务器则使用了位于香港的主机。

该木马在侵入受害电脑系统后，会将自身设置为名称为NTLDR的开机启动项，采集系统信息发送给木马控制端服务器，并接受黑客遥控指令，可接受指令包括更新后门程序、启动第二步攻击样本、注入一段由木马服务器指定编码的代码到系统进程中等运行等。截至7月25日中午，360监测到该木马服务器并没有发布新的攻击指令。

360安全专家表示，近期访问过凯莱英官网的电脑用户，可通过检查名为NTLDR的开机启动项，验证电脑是否已经被黑客植入木马;也可下载使用360安全卫士或360杀毒，能够预防拦截并查杀该木马。