中国黑客使用后门木马针对俄罗斯和白俄罗斯军事航天机构

据外媒报道，安全公司 ProofPoint 发布安全报告指出，来自中国的黑客继续对俄罗斯和白俄罗斯的军事、航空航天机构从事网络间谍活动。自 2016 年夏季以来，该组织开始使用称为 ZeroT 的新下载程序安装远程访问木马 PlugX 。

Proofpoint 公司是一家网络安全服务公司，提供电子邮件安全、归档及防止数据丢失整合解决方案。主要为航空航天、国防、教育、金融服务、政府、医疗机构、制造业和零售业等提供网络安全服务。（引自网络）

报告显示在此前的活动中，黑客组织通常利用 Microsoft Word 文档附件触发 CVE-2012-0158 漏洞或者使用恶意 URL 指向一个可执行文件的 .RAR 压缩包。虽然这些行为仍在继续，但自 2016 年 6 月，中国黑客组织改变了攻击的策略。黑客开发了恶意软件 ZeroT 用于安装远程访问木马 PlugX ，并添加了 Microsoft 编译的 HTML Help 文件格式（ .chm ）作为鱼叉式网络钓鱼邮件的初始放置程序。

恶意软件 ZeroT 使用混淆技术来逃避检测并可绕过 Windows UAC 用户控制，通过 HTTP 与 C＆C 服务器进行通信，还可以在所有请求中使用伪造的 User-Agent 。

此前外媒曾报道，来自中国的黑客一直对美国和欧洲的航空航天公司进行网络间谍活动。去年 7 月，美国判处华裔商人 苏斌  46 个月的监禁，他被指控从波音和洛克希德马丁公司的网络中窃取了 F-22、F-35 战斗机和 C-17 运输机的资料。

本文由 HackerNews.cc 翻译整理，封面来源：百度搜索。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。

from hackernews.cc.thanks for it.