中國黑客組織利用VeryCD客戶端更新程序傳播后門

　　上周發現的 IE 0day 漏洞與中國黑客有關聯，那么這個黑客組織叫什么？根據賽門鐵克發布的一份報告（PDF），該中國黑客組織被它命名為 Hidden Lynx——名稱源自指令控制服務器通信中發現的一個字符串。賽門鐵克認為該組織比知名的中國黑客組織 APT1/Comment Crew 技術能力更勝一籌，它可能是一個受雇傭的專業黑客組織。

　　Hidden Lynx 精于開發定制惡意程序，先人一步的使用 0day 漏洞，使用動態 DNS 服務 DTDNS 快速切換指令控制服務器，并利用 VeryCD 的客戶端 easyMule 更新程序傳播后門，但只是選擇性的安裝到真正的目標客戶上。報告稱，從 2011 年 11 月開始，Hidden Lynx 在 easyMule 更新鏈中植入了 Moudoor，但只是選擇性的安裝。easyMule 是中國最流行的 eMule 電驢客戶端，而 Moudoor 是 Gh0st RAT（RAT 指遠程控制工具）的定制變種，Gh0st RAT 變種被廣泛應用于中國的網絡間諜活動中。Moudoor 的受害者主要來自中國、香港和美國。