- PVSM.RU - https://www.pvsm.ru -
Как сообщает «Лаборатория Касперского», хакеры из APT-группировки ShadowHammer 5 месяцев контролировали сервис обновлений ASUS Live Update и заразили более полумиллиона компьютеров по всему миру.
Исследователи из «Лаборатории Касперского» обнаружили [1], что в прошлом году злоумышленники взломали сервер ASUS, который отвечал за обновления программного обеспечения компании. Злоумышленники разместили на сервере вредоносный файл с бэкдором, подписанный валидным сертификатом ASUS.
Скомпрометированный сертификат 05e6a0be5ac359c7ff11f4b467ab20fc:
[изображение — securelist.com]
Большинство зараженных объектов, обнаруженных экспертами «Лаборатории Касперского», находились в России (около 18%). По информации Symantec, минимум 13 000 компьютеров, принадлежащих клиентам компании, были заражены обновлением вредоносного программного обеспечения от ASUS в прошлом году в США.
Статистика заражений:
[изображение — securelist.com]
Предполагается, что злоумышленники должны были скомпрометировать около 600 целей, которые идентифицировались по MAC-адресам компьютеров.
Вредоносная программа искала целевые системы по их уникальным MAC-адресам. Попав в систему и обнаружив один из этих целевых адресов, вредоносная программа обращалась к командно-контрольному серверу, на котором работали злоумышленники, после чего на эти машины было установлено дополнительное вредоносное ПО.
В данной APT были задействованы следующие узлы:
С&C:
asushotfix[.]com
141.105.71[.]116
Распространение:
hxxp://liveupdate01.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER365.zip
hxxps://liveupdate01s.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER362.zip
hxxps://liveupdate01s.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER360.zip
hxxps://liveupdate01s.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER359.zip
«Эта атака показывает, что используемая нами модель доверия, основанная на известных именах поставщиков и проверке цифровых подписей, не может гарантировать, что вы защищены от вредоносных программ», — отметил Виталий Камлюк, директор Азиатско-Тихоокеанского региона по глобальным исследованиям и анализу «Лаборатории Касперского». Он отметил, что ASUS никак не прокомментировала взлом и оставила без внимания сообщения от экспертов «Лаборатории Касперского» о взломанном сервисе и скомпрометированном сертификате.
В адрес компании направлены дополнительные запросы издательства Motherboard и компании Symantec.
Утилита для проверки [2], не входит ли ваш MAC-адрес в список приоритетных целей. Онлайн-проверка [3].
Автор: Jet CSIRT
Источник [4]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/asus/312593
Ссылки в тексте:
[1] обнаружили: https://www.kaspersky.ru/blog/shadow-hammer-teaser/22486/
[2] Утилита для проверки: https://kas.pr/shadowhammer
[3] Онлайн-проверка: https://shadowhammer.kaspersky.com/
[4] Источник: https://habr.com/ru/post/445256/?utm_source=habrahabr&utm_medium=rss&utm_campaign=445256
Нажмите здесь для печати.