攻击者在五月就向 M.E.Doc 用户推送了后门

上月底，攻击者利用乌克兰会计软件供应商 M.E.Doc 的软件更新机制向其用户推送了恶意程序。该恶意程序伪装成勒索软件 Petya，因此被取名为 NotPetya。乌克兰是此次攻击的重灾区。根据安全公司 Eset 本周发布的报告，M.E.Doc 的用户早在 5 月 15 日就被推送了后门版的 ZvitPublishedObjects.dll。安全研究人员认为，此次攻击是精心策划的，得到了良好的执行。研究人员认为，攻击者对 M.E.Doc 源代码的访问有足够长的时间，因此能植入秘密的后门。由于 M.E.Doc 的程序有 1.5 GB 大小，研究人员暂时还无法判断攻击者是否还植入了其它后门。思科安全团队 Talo 也证实后门被植入在 ZvitPublishedObjects 更新模块中。乌克兰警方已经扣押了 M.E.Doc 开发商的计算机和软件，建议 M.E.Doc 用户立即停用该软件。