Websense:「國際特赦組織」

香港及英國網站遭Gh0st RAT入侵



2012516,香港訊】Websense® ThreatSeeker® Network偵測到國際特赦組織的香港網頁於上週末被入侵,當中的惡意程式碼至今仍然活躍及有效。以下是一些會重新導向至黑客攻擊的受感染頁面。Websense Security Labs會繼續監察及跟進有關此攻擊的最新情況。

http://www.amnesty.org.hk/chi/shop.php
http://www.amnesty.org.hk/chi/node/20471
http://www.amnesty.org.hk/chi/node/20053
http://www.amnesty.org.hk/chi/event.php%253fday%253d14

此外,於2012年5月8日至9日期間,Websense® ThreatSeeker® Network亦偵測到國際特赦組織的英國網站遭黑客攻擊。在這兩天內,此網站被植入了惡意程式碼,曾在此期間使用該網站的人士之敏感資料可能會被盜,與他們有連繫的人士之電腦系統亦可能受到感染。Websense已通知了該網站有關是次攻擊的詳情,而網站持有人亦已作出有關修正。


當此攻擊一旦成功後,受感染的系統會從一個URL (hxxxp://www.48groupclub.org/images/uploads/image/sethc.exe)啟動一個可供執行的檔案下載。當受感染的系統執行「sethc.exe」檔案時,Windows的系統目錄內會出現一個新的二進制檔案。

由於此執行檔案獲頒一項看似「有效」的認證,令此攻擊看來更不易令人生疑。但我們後來發現,雖然此認證已使用了一段時間,但經過是次攻擊事件後,此認證仍然未被撤銷。

當我們分析此屬於低度防毒檢測的二進制檔案時,我們發現此檔案是一個知名的遙距管理工具Gh0st RAT的變種,此工具主要用於發動針對性攻擊,旨在徹底控制受感染的電腦系統。

Websense技術經理譚偉基表示:「當黑客成功利用遙距管理工具控制受感染系統後,黑客就能入侵用戶的檔案、電郵、密碼及其他敏感個人資料。」


附錄

國際特赦組織的英國網站被植入惡意程式碼。

由於此執行檔案獲頒一項看似「有效」的認證,令此攻擊更不易令人生疑。




Arlo Pro 網絡攝錄鏡頭 - 防水、內置電池、無線
詳情請點擊:http://www.anlander.com


此文章首發於 TechRitual;標題:Websense:「國際特赦組織」香港及英國網站遭Gh0st RAT入侵;內容贊助:NETGEAR orbi,Mesh WiFi 子母機設計打通村屋