APT组织利用“假冒ESET更新程序”进行恶意活动

显示全部楼层 · 发表于 2020-4-29 19:21:35

本帖最后由 wangyuhe 于 2020-4-29 19:25 编辑

感觉应该发在资讯区，不过还是发在了这，要是有问题就删了

https://mp.weixin.qq.com/s/mgvX8ep7m_60vMZFJ_Be3w

近期，亚信安全网络安全实验室（应该就是趋势）关注到疑似Kimsuky APT组织利用假冒的ESET安全软件更新程序进行信息收集的恶意活动。该文件伪装成ESET更新程序，运行后，会有ESET软件更新成功的窗口提示，诱导用户相信其为正常程序。亚信安全将此文件检测为Backdoor.Win32.KIMSUK.A。

并没有样本

图片上的传播网站我目前进不去，没打出来怕误双击

显示全部楼层 · 发表于 2020-4-29 20:24:35

网站提示403了

显示全部楼层 · 发表于 2020-4-29 20:52:07

InnoriaAlter 发表于 2020-4-29 20:24
网站提示403了

嗯，我也进不去，可能被安排了

显示全部楼层 · 发表于 2020-4-30 17:18:33

国内一大票冒充360的

显示全部楼层 · 发表于 2020-4-30 17:20:17

a27573 发表于 2020-4-30 17:18
国内一大票冒充360的

看着ESET在国外挺火

显示全部楼层 · 发表于 2020-5-3 11:05:22

一般什么情况下才会去第三方下载升级器？？

显示全部楼层 · 发表于 2020-5-7 22:30:44

a27573 发表于 2020-4-30 17:18
国内一大票冒充360的

首先得分清楚是白利用还是就是个纯粹弄个相似签名来混人的

如果是白利用

没事，360tray应该在3年前也被人干过

显示全部楼层 · 发表于 2020-5-7 22:37:23

tdsskiller 发表于 2020-5-7 22:30
首先得分清楚是白利用还是就是个纯粹弄个相似签名来混人的

如果是白利用没事，360tray应 ...

有没有相关文章，想看个热闹。

显示全部楼层 · 发表于 2020-5-7 22:40:52

本帖最后由 tdsskiller 于 2020-5-7 22:49 编辑

2849 发表于 2020-5-7 22:37
有没有相关文章，想看个热闹。

那个是火绒的分析文章，有sha1但是没有全网没有样本。所以没法确定那个到底是搞了一个极其类似签名的黑文件，还是真就是白利用，但是这类玩意太恶心，危害巨大，所以没有在网上流传：
http://bbs.huorong.cn/thread-21413-1-1.html
如果是真的，那我也算是大开眼界了，利用杀软升级程序和组件加载黑驱动的话，HIPS估计又要死一条街

[转帖] APT组织利用“假冒ESET更新程序”进行恶意活动

本帖子中包含更多资源