北京最权威的治疗白癜风中医医院 https://wapjbk.39.net/yiyuanzaixian/bjzkbdfyy/nxbdf/
目前几乎可以肯定发起攻击的黑客是使用中文的黑客,至于这使用中文的黑客是不是国内的黑客还无法确定。
另外黑客的攻击目标是境外非法博彩网站,至于目的暂时不清楚,不知道是为了搞破坏还是想截留非法资金。
具有专业技能且目标非常明确:
安全公司分析发现黑客使用的工具集比较复杂且属于精心制作的,显然这是个黑客团伙而不是单个黑客行为。
该黑客团伙使用复杂的工作流程实现持久化和自我更新,即感染目标设备后可以随时更新模块实现恶意行为。
攻击目标则主要是位于东南亚的非法博彩网站,目前有不少诈骗团伙躲在东南亚尤其是菲律宾架设博彩网站。
这些网站是黑客的主要目标,但问题在于通常这类非法博彩网站经常被同行攻击,因此安全防御不会特别差。
那黑客怎么打开突破口呢?答案就是冒充金山向向诈骗团伙发送带毒电子邮件,里面包含虚假的WPS安装包。
冒充工行/腾讯:
虚假的安装包里包含更新程序,黑客利用WPS更新程序的漏洞实现通信,可以在目标设备上执行多种操作。
要利用此漏洞需要修改注册表,修改完成完成后黑客可以在目标系统上获得持久性并且可以控制更新过程等。
安全公司分析发现黑客下发的恶意文件通过update.wps.cn分发,这域名属于金山但服务器IP地址却对不上。
这说明黑客在某些未知环节实现了劫持,让诈骗团伙更新时下载的是恶意文件,恶意文件还冒充各种大公司。
例如有文件使用的签名是腾讯公司,有文件使用的名称是工行的ICBC,然后再检测是否安装安全卫士等。
这些行为多半用来忽悠诈骗团伙避免未知文件引起
