网络安全公司Cylance发博文表示，与中国高级黑客组织Winnti存在“重大”关联的威胁攻击者近期对西方某航空航天公司发起攻击。

航空航天遭到“Hacker’s Door”木马攻击

Cylance称在近期一起事件响应中发现，威胁攻击者利用远程访问木马(RAT)“Hacker’s Door”入侵某航空航天公司。“Hacker’s Door”可追溯到2004年，但由于过去十年经过断断续续地改进、升级及售卖，研究人员很少发现它。

Cylance的Tom Bonner(汤姆·邦纳)表示，该事件与中国APT组织有关联的线索源于被盗取的证书，其关联点在于该证书为中国黑客组织Winnti所用。Tom Bonner称这种关联对确定归因相当重要。

中国开发人员“yyt_hac”在售卖这款RAT，并要求买方勿利用该工具从事非法活动。

Hacker’s Door功能强大

最新版Hacker’s Door支持64位系统。这款RAT包含后门和Rootkit组件，激活后便会执行一系列远程命令：

收集系统信息;

抓取截图和文件;

下载其它文件;

运行其它进程和命令;

列出并结束进程;

打开Telnet和RDP服务器;

提取当前会话的Windows凭证。

Cylance研究人员解释称，攻击者未来很有可能利用这款工具发起针对性攻击，因为这款工具具备的高级功能及其易用性使其不失为一款最佳RAT。

研究人员认为中国开发人员“yyt_hac”黑化

Bonner表示，这款RAT的作者还创建了另一款恶意软件“yt_hac’s ntrootkit”(其宣称包含另一款针对Windows内核的旧版后门)、“Ghost Shield 1.0”工具(声称是木马防火墙)，和其它通用工具。

Bonner还指出，中国开发人员“yyt_hac”在某个时间现身网络开启“黑化”之路，2005年左右销声匿迹，2015年再现江湖。但这与此前“要求买方勿利用该工具从事非法活动”相矛盾。

Cylance未提供有关这起入侵、受害者或渗透者的其它详情。