2019 年 8 月，安天 CERT 監(jiān)測(cè)到了多 起利用 KPOT 木馬進(jìn)行竊密的事件。分 析人員通過對(duì)其 C2 以及腳本進(jìn)行關(guān)聯(lián)， 判定這些竊密事件是由 Magecart 第五小 組發(fā)起的。Magecart 是一個(gè)獲取經(jīng)濟(jì)利益 為主要目的的竊取支付信息的組織集合。 Magecart 第五小組最早出現(xiàn)于 2016 年，利 用 KPOT 竊取用戶加密貨幣錢包信息、應(yīng) 用賬戶信息以及瀏覽器 cookies 等多種信 息。攻擊者主要利用了垃圾郵件以及 RIG 和 Fallout 漏洞利用工具包來傳播木馬。

      KPOT 運(yùn)行后會(huì)從 C2 服務(wù)器獲取控 制指令，根據(jù)控制指令竊取指定信息，并 將信息加密后回傳到 C2 服務(wù)器。KPOT會(huì)獲取系統(tǒng)語言版本判斷當(dāng)前語言所對(duì)應(yīng) 的國(guó)家，避開以下國(guó)家進(jìn)行竊密：俄羅 斯、亞美尼亞、阿塞拜疆、白俄羅斯、格 魯吉亞、哈薩克斯坦、塔吉克、土庫(kù)曼和 烏茲別克。該木馬主要功能包括：竊取 Chrome、Firefox、Internet Explorer 瀏覽器 的 cookies 和口令；竊取 shype、telegram、 discord、battle.net、Steam 賬戶信息；竊取 多種 FTP 和 Jabber 客戶端賬號(hào)信息；竊取 多種 windows 憑證信息；竊取多種加密貨 幣文件；獲取屏幕截圖。

      安天 CERT 提醒廣大政企客戶，應(yīng)提 高網(wǎng)絡(luò)安全意識(shí)，在日常工作中及時(shí)進(jìn)行 系統(tǒng)更新和漏洞修復(fù)，不隨意下載非正版的應(yīng)用軟件，注冊(cè)機(jī)等。收發(fā)郵件時(shí)應(yīng)確 認(rèn)收發(fā)來源是否可靠，不隨意點(diǎn)擊或者復(fù) 制郵件中的網(wǎng)址，不輕易下載來源不明的 附件，發(fā)現(xiàn)網(wǎng)絡(luò)異常要提高警惕并及時(shí)采 取應(yīng)對(duì)措施，養(yǎng)成及時(shí)更新操作系統(tǒng)和軟 件應(yīng)用的良好習(xí)慣。確保所有的計(jì)算機(jī)在 使用遠(yuǎn)程桌面服務(wù)時(shí)避免使用弱口令，如 果業(yè)務(wù)上無需使用遠(yuǎn)程桌面服務(wù)，建議將 其關(guān)閉。

      目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對(duì)該 類竊密木馬的鑒定；安天智甲已經(jīng)實(shí)現(xiàn)了 對(duì)該竊密木馬的查殺。