卡巴斯基发现专门攻击网游公司的中国黑客组织

2013-04-15 122684人围观 ,发现 14 个不明物体 资讯

木马使用的数字证书属于韩国网络游戏公司KOG,由Verisign发行,现已撤销。该证书只是Winnti组织使用的一系列游戏公司数字证书之一。卡巴斯基注意到一种巧合:2011年攻击韩国社交网站Cyworld和Nate的木马使用的数字证书来自日本游戏公司 YNK Japan;上个月攻击西藏和维吾尔活动人士的木马使用的证书同样来自YNK Japan;另一起攻击维吾尔活动人士的木马使用的证书来自游戏公司MGAME Corp卡巴斯基认为,所有被窃取的游戏公司数字证书都源于Winnti组织,该组织要么与其它中国黑客组织关系密切,要么通过地下黑市供应了数字证书。

卡巴斯基分析的显示,恶意程序依赖于一位杀毒软件公司中国研究员开发的木马分析工具AheadLib,恶意程序作者发现AheadLib可以方便的创建恶意程序代理库(malicious proxy-libraries)。当受害者感染木马之后,它会下载程序ff._exe到Config.Msi文件夹内,搜索HTML、MS Excel、MS Word、Adobe、PowerPoint和MS Works文档,以及TXT文本文件。研究人员在其编码中发现了中文字符。

研究人员通过各种线索对攻击者身份展开了搜索,发现了一些可能是团队成员的网站和博客,

如:

http://zhikou.yo2.cn/

http://www.exploit-db.com/exploits/11053/


http://zzsky.5d6d.net/archiver/tid-127.html


http://forum.cnsec.org/thread-50222-1-1.html


http://zzsky.5d6d.net/archiver/tid-127.html

代码中的一个字符ydteam似乎指向了黑客网站 ydteam.cn,WHOIS搜索发现注册人叫魏楠,注册商是北京新网数码信息技术公司,魏楠的邮箱是wn6805@126.com,QQ号97676416,出生日期1992年12月21日。感兴趣的朋友可以阅读PDF

这些评论亮了

  • Phiber 回复
    据说黑阔团队的办公环境都这样的。
    )34( 亮了
  • Winnti 回复
    我们叫文妮!这群没文化的老外
    )24( 亮了
发表评论

已有 14 条评论

取消
Loading...
css.php