又是藍翔:中國出口掃描儀被發現攜帶惡意程序
責編:admin |2014-07-16 15:45:38一家向全球物流和運輸公司出售手持掃描儀硬件和軟件的中國公司被發現其產品攜帶了惡意程序。惡意程序滲透到企業內網后會向位于中國的指令控制服務器發送數據,而其中一個指令控制服務器位于山東藍翔職校。
安全公司TrapX發布了分析報告(PDF),將這一攻擊行動命名為Zombie Zero。它懷疑黑客攻擊背后的支持者可能是國家。惡意程序嵌入在設備使用的Windows XP Embedded中,廠商支持網站上的Windows XP Embedded也包含病毒。當掃描儀連接到企業無線網絡,惡意程序會使用SMB協議 (端口135/ 445)自動對企業內網發動攻擊,如果被防火墻攔住,它隨后會利用RADMIN協議(端口4899) 發動第二輪攻擊。當成功滲透進內網后,惡意程序會尋找含有英文finance的主機名的特定企業服務器。在定位處理金融數據的服務器后,它會聯系位于藍翔和北京的指令控制服務器,掃描儀生產廠商與藍翔職校位于同一區域。