年關需警惕!商業間諜木馬AZORult通過條碼列印軟體傳播竊密

騰訊安全發表於2020-01-19

近期,騰訊安全威脅情報中心接到某公司網管發來的求助,稱從非官方渠道下載了條碼標籤列印軟體後,使用啟用工具patcher.exe進行啟用破解時,發現惡意程式關閉了系統的安全防護功能。

年關需警惕!商業間諜木馬AZORult通過條碼列印軟體傳播竊密

(圖:條碼列印軟體(LABEL MATRIX)啟用工具)


騰訊安全進而檢測發現,AZORult商業間諜木馬在國內傳播升級,該病毒主要通過條碼列印軟體啟用工具進行“水坑”攻擊,會聯網下載商業間諜木馬,被攻擊後將導致相關單位遭受嚴重損失。目前,騰訊電腦管家、騰訊T-Sec 終端安全管理系統(騰訊御點)均可攔截並查殺該病毒,同時提醒廣大企業使用者年底不應掉以輕心,強化內網安全以防中招。

年關需警惕!商業間諜木馬AZORult通過條碼列印軟體傳播竊密

(圖:騰訊T-Sec 終端安全管理系統)


據騰訊安全威脅情報中心檢測資料統計,此次有多家企業受到AZORult商業間諜木馬攻擊影響,上海、江蘇、廣東、湖北等地,成為本次攻擊受害較嚴重的區域。不法黑客瞄準製造業、商業公司最普遍使用的條碼列印軟體下手,導致木馬影響相關製造、流通領域,以及使用二維碼收付款業務的商戶門店等,對企業的網路安全構成嚴重威脅。


據騰訊安全專家介紹,AZORult商業間諜木馬善於偽裝,關閉系統安全防護功能,令普通使用者難覓蹤跡。一旦入侵成功,即可獲得對目標電腦的完全控制權,掃描受害者的環境,竊取登入密碼、Cookie、瀏覽歷史記錄等個人資訊。同時,還會嘗試從大量程式中獲取賬號密碼等敏感資訊,並關閉中毒系統的安全防護功能,危害極大。


應用水坑攻擊是AZORult商業間諜木馬大肆蔓延的重要原因之一。如同埋伏在水坑旁等待前來喝水的獵物一樣,資訊保安領域的水坑攻擊,是APT攻擊的一種常用手段,不法黑客通過分析被攻擊者的網路活動規律,尋找被攻擊者經常訪問的網站弱點,入侵這些防禦措施相對薄弱的伺服器並植入惡意程式,當使用者訪問了這些網站,就會遭受感染。


而在本次AZORult商業間諜木馬攻擊事件中,攻擊者首先通過入侵條碼列印軟體啟用類工具,隨後利用這些工具發起水坑攻擊。當使用者下載條碼標籤列印軟體,對軟體進行啟用破解時,就會通過Powershell命令從遠端伺服器下載勒索軟體。如果此時使用者缺乏足夠的安全意識,點選執行下載的檔案就會遭受AZORult木馬的攻擊。


年關將至不少病毒開始趁亂作惡,為更好地遏制AZORult商業間諜木馬帶來的擴散態勢,騰訊安全反病毒實驗室負責人馬勁鬆建議廣大企業網路管理員,統一使用正版軟體,避免通過破解工具進行啟用;同時,建議企業使用者選擇使用騰訊T-Sec 高階威脅檢測系統(騰訊御界)檢測未知黑客的各種可疑攻擊行為,全方位保障企業自身的網路安全。

年關需警惕!商業間諜木馬AZORult通過條碼列印軟體傳播竊密

(圖:T-Sec 高階威脅檢測系統)

相關文章