資安業者ProtectWise日前發佈一項研究發現,有來自中國的國家支持層級的駭客組織,會透過竊取軟體公司程式碼簽章,並用該簽章簽署惡意程式,這個簽署過簽章的惡意程式,就可以被視為真實的程式碼而不會有任何懷疑。
ProtectWise將這個駭客組織命名為「Winnti Umbrella」,剛開始主要是竊取美國、日本、韓國和中國的遊戲業者以及高科技業者的憑證,但到後來,還會針對維吾爾族以及西藏、泰國政府和科技公司,具有政治意圖。
ProtectWise從一系列操作上的錯誤可以發現,這個駭客組織所使用的相關基礎設施,進而觀察到,這個駭客組織是隸屬於一家專門竊取這類憑證的中國情報組織;在過去九年中,也其他資安公司也觀察到,這些中國駭客組織早已經做到彼此連結、資源共享的地步,也有其他的別名,例如Winnti,PassCV,APT17,Axiom,LEAD,BARIUM,邪惡的熊貓以及GREF等。
今年,這個駭客組織Winnti Umbrella則專注於,試圖鎖定Office 365和Gmail發動相關的網路釣魚攻擊,一旦登入相關帳戶後,就會搜尋儲存的程式碼簽章放在哪裡,也會鎖定IT人員的電腦,找出公司內部的網路文件,並利用企業內具備遠端存取的工具,用來竊取相關的程式碼憑證,而這些憑證聽常被存放到本地端的電腦或者是放在網路供享,並沒有受到良好的保護。
#中國駭客組織專門竊取程式碼憑證
#駭客組織命名為WinntiUmbrella
#今年鎖定Office365和Gmai發動網路釣魚
https://www.govinfosecurity.com/report-chinese-actors-steal…
