Arbor Networks公司的安全研究员发现潜伏在企业内部的黑客偷偷修改了合法的 LoJack 软件。

研究人员指出在受污染 LoJack 实例中找到的域名此前曾被指和 APT28 执行的黑客行动有关。APT28被指受俄罗斯政府支持,和俄罗斯军事情报部门之间存在关联。

APT28传播受污染的 LoJack 实例

LoJack 是一款由企业或单独用户安装在设备(笔记本电脑、平板电脑、智能手机)上的用作无线电信标的一款 app,它可允许设备所有人追踪并定位自己的设备以防设备被盗。

研究人员指出已发现 app 的二进制中包含一些小修改,将 LoJack 代理指向恶意命令和控制服务器。也就是说,LoJack 代理并没有报告给 LoJack 中心服务器,而是向受 APT28控制的域名报告并接受指令。安全专家表示虽然他们无法找到 APT28使用 LoJack 黑进受害者系统并窃取数据的证据,但并不能排除这种可能性。

LoJack 代理是绝佳的后门木马

鉴于 LoJack 代理的构建方式,攻击者能够访问一款具有强大内置持续性系统的软件,不仅能让 LoJack 经受住硬盘替代和操作系统重新映像,而且还能够在目标系统以最高的可能权限执行任意代码。

后一种功能可导致 APT28 运营者下载其它恶意软件、搜索敏感数据、将被盗数据渗透给远程服务器、清理任何入侵证据日志、甚至是擦除或损坏受感染计算机。

由于对受污染 LoJack 二进制的修改极其小而且并不明显(只是修改了某个配置文件),因此多数反病毒扫描器并无法将这些受污染版本检测为恶意性质。

安全专家表示,由于反病毒检测率低,攻击者能够明目张胆地隐藏可执行文件,就像是双重代理。攻击者只需设置一台能够模拟 LoJack 通信协议的 C2 服务器即可。

很可能通过鱼叉式钓鱼邮件传播

虽然研究人员无法明确 APT28 是如何将这些受污染 LoJack 二进制传播给目标的,但他们认为黑客使用了鱼叉式钓鱼邮件诱骗受害者将恶意 LoJack 版本安装到系统中。

研究人员还认为 APT28可能受到了2014年黑帽大会的启发。当时,研究人员探索了使用当时流行的 LoJack 软件作为极其持久的模块化后门的想法。

LoJack 软件出自主营创建监控软件的 Computrace 公司之手。2010年,该公司正处于媒体的聚光灯下,原因是宾夕法尼亚的一个学区在发给学生的笔记本电脑上安装了该公司的一款类似监控软件的 app (LANrev) ,供学校领导监控学生在家里的活动,该公司因此而备受争议。

本文由代码卫士翻译自BleepingComputer

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。