7月25日消息,据360互联网安全中心披露,跨国生物制药企业凯莱英医药集团官网近期遭黑客入侵,其官网中英文站点均嵌入恶意代码,向凯莱英员工或来访客户电脑植入木马后门。技术分析表明,该木马传播时综合采用了六种软件漏洞进行变形免杀,能避开绝大多数杀毒软件的拦截,很可能是瞄准医药行业窃取商业机密的APT攻击(针对特定目标的高级持续性威胁)。
图:360安全卫士第一时间拦截凯莱英官网挂马攻击
据悉,凯莱英医药集团是生物医药行业知名的跨国企业之一,为各大国际制药企业提供药物研发生产专业化服务,以帮助制药公司缩短新药开发周期。近年来,高科技领域企业频繁遭遇黑客APT攻击,例如IE“极光”攻击入侵Google,RSA SecurID种子文件被黑客窃取等事件,此次凯莱英官网被挂马证明医药行业也面临着严重的黑客威胁。
360分析发现,凯莱英官网被黑客利用IE(三个漏洞)、Office、Adobe PDF Reader和Java运行环境(JRE)的六个漏洞组合挂马,对访问者电脑植入木马后门。虽然这些漏洞大多已在2013年得到官方修复,但由于黑客对漏洞攻击样本进行了变形免杀,根据多引擎在线扫描网站VirusTotal检测,40余款各国反病毒引擎中,无一能够全部检测出此次凯莱英官网的漏洞攻击样本和木马后门。
值得注意的是,黑客为木马服务器使用了Monica.brb.dj、juliavoth.cn.mu、sammihanratty.uni.cx三组域名,都是以国外知名女影星命名,分别代表莫妮卡•贝鲁奇、朱莉娅•沃斯和赛米•汉拉缇,由此推测该木马幕后黑客是个电影迷,木马服务器则使用了位于香港的主机。
该木马在侵入受害电脑系统后,会将自身设置为名称为NTLDR的开机启动项,采集系统信息发送给木马控制端服务器,并接受黑客遥控指令,可接受指令包括更新后门程序、启动第二步攻击样本、注入一段由木马服务器指定编码的代码到系统进程中等运行等。截至7月25日中午,360监测到该木马服务器并没有发布新的攻击指令。
360安全专家表示,近期访问过凯莱英官网的电脑用户,可通过检查名为NTLDR的开机启动项,验证电脑是否已经被黑客植入木马;也可下载使用360安全卫士或360杀毒,能够预防拦截并查杀该木马。