据外媒报道,安全专家发现了一项新型的复杂APT攻击行动,该行动可能通过一个后门实用程序感染了超过一百万的华硕用户。
新的供应链攻击:ShadowHammer行动来袭
CCleaner hack大家一定不陌生。
CCleaner hack是最大的供应链攻击之一,在2017年9月使用该软件的后门版本感染了超过230万用户。
近日,俄罗斯卡巴斯基实验室揭露了另一个巨大的供应链攻击行动,该攻击可能破坏台湾科技巨头生产的100多万台计算机华硕。
该行动被称为ShadowHammer,行动背后的团队专注于近年来影响CCleaner和ShadowPad 合法软件的供应链攻击。
去年6月至11月期间,一群由国家赞助的黑客成功劫持了ASUS Live自动软件更新服务器,并推动恶意更新,在全球超过一百万台Windows计算机上安装后门。
在分析了200多个恶意更新样本后,研究人员发现,黑客不希望以所有用户为目标,而只是针对由其唯一MAC地址识别的特定用户列表,这些用户被硬编码到恶意软件中。
“我们能够从这次攻击中使用的200多个样本中提取600多个独特的MAC地址。当然,可能还有其他样本在其列表中有不同的MAC地址。” 研究人员说。
与CCleaner和ShadowPad黑客一样,恶意文件是使用合法的华硕数字证书签署的,以使其看起来像是公司的官方软件更新,并且长时间未被发现。
目前研究人员没有将攻击归咎于任何APT小组,但某些证据显示该攻击与2017年的ShadowPad事件有关,亚洲其他三家计算机供应商也以类似的方式成为攻击目标,微软将此归因于Winnti后门背后的BARIUM APT。
“这一新的攻击行动是当今智能供应链攻击的复杂性和危险性的典型例子。拥有庞大客户群的供应商对于APT组织来说是非常有吸引力的目标。目前尚不清楚攻击者的最终目标是什么,我们仍在研究攻击的幕后黑手。”卡巴斯基全球研究与分析团队的APAC主任Vitaly Kamluk表示。
受影响电脑:卡巴斯基:一百万VS华硕:数百台
根据卡巴斯基的说法,至少有57,000名卡巴斯基用户下载并安装了华硕Live Update的后门版本。
“我们无法仅根据我们的数据计算受影响用户的总数;但是,我们估计问题的实际规模要大得多,可能影响全球超过一百万用户。”卡巴斯基称。
卡巴斯基检测到恶意软件感染了来自世界各地的用户,大多数受害者来自俄罗斯,德国,法国,意大利和美国等。
卡巴斯基已经向华硕和其他反病毒公司通报了此次袭击事件的调查。
据华硕回应,此事件已在华硕的管理及监控之中。华硕称,媒体报道华硕Live Update工具程序可能遭受特定APT集团攻击,APT通常由第三世界国家主导,针对全世界特定机构用户进行攻击,甚少针对一般消费用户。经过华硕的调查和第三方安全顾问的验证,目前受影响的数量是数百台,大部份的消费者用户原则上并不属于APT集团的锁定攻击范围。
及时掌握网络安全态势 尽在傻蛋联网设备搜索系统
【网络安全监管单位】免费试用→→点击申请
更多安全资讯请关注:
微信公众号【安数网络】;新浪微博【@傻蛋搜索】
