APT 组织窃取 D-Link 公司数字证书签署其恶意软件

据外媒报道，ESET 的安全研究人员发现一项新的恶意软件活动，与 APT 组织 BlackTech 有关，该组织正在滥用从 D-Link 网络设备制造商和台湾安全公司 Changing Information Technology 窃取的有效数字证书签署其恶意软件，伪装成合法应用程序。

  由受信任的证书颁发机构（CA）颁发的数字证书是用来对计算机应用程序和软件进行加密签名，计算机将信任这些有数字证书程序的执行，不会发出任何警告消息。近年来一些寻找绕过安全方案技术的恶意软件作者和黑客一直在滥用可信任数字证书，他们使用与受信任软件供应商相关联的受损代码签名证书来签署其恶意代码，以避免被目标企业网络和用户设备上检测到。

  据安全研究人员介绍，此网络间谍组织技术娴熟，他们大部分瞄准东亚地区，尤其是台湾。ESET 确定了两个恶意软件系列，第一个被称为 Plead 的恶意软件是一个远程控制的后门，旨在窃取机密文件和监视用户，Plead 至少从 2012 年就开始利用有效证书签署其代码；第二个恶意软件是密码窃取程序，旨在从Google Chrome，Microsoft Internet Explorer，Microsoft Outlook 和 Mozilla Firefox 收集保存的密码。

  研究人员向 D-link 和 Changing Information Technology 通报了该问题，受损的数字证书分别在2018年7月3日和7月4日予以撤销。

  这不是黑客第一次使用有效证书来签署他们的恶意软件。2003 年针对伊朗核加工设施的 Stuxnet 蠕虫也使用了有效的数字证书。