查看原文
其他

供应链攻击|ASUS Live Update感染后门,影响100多万用户

E安全 E安全 2022-05-14

更多全球网络安全资讯尽在E安全官网www.easyaq.com




小编来报:ASUS Live Update是一款预装在大多数华硕电脑上的实用工具,用于自动更新如BIOS、UEFI、驱动程序和应用程序。卡巴斯基实验室发现它被安装后门,目前已影响超过100万用户。


据外媒报道,卡巴斯基实验室于2019年1月检测到新的APT攻击事件,预计攻击在2018年6月至11月期间进行,据称已影响到100多万下载了ASUS Live Update Utility的用户。

 


卡巴斯基实验室的全球研究与分析(GReAT)团队将这一攻击命名为ShadowHammer,它导致了逾5.7万卡巴斯基用户下载并安装了带后门的ASUS Live Update。


GReAT在报告中表示,ASUS Live Update是一款预装在大多数华硕电脑上的实用工具,用于自动更新如BIOS、UEFI、驱动程序和应用程序。根据Gartner的数据,到2017年,华硕是全球第五大个人电脑销售商,这使得它成为了APT组织的目标。

 

ShadowHammer受害者分布图

受感染的ASUS Live Update二进制文件有多个版本,每个版本都针对未知的用户池,这些用户由网络适配器的MAC地址识别。

 

ShadowHammer背后的攻击者使用硬编码的MAC地址列表来检测后门是否安装在命中列表中MAC地址的机器上,卡巴斯基从这次攻击中使用的200多个样本中收集了600个MAC地址。


如果MAC地址匹配,恶意软件就会下载下一阶段的恶意代码。研究人员发现,渗透进来的更新程序并没有显示出任何网络活动。

 

第二阶段的后门从位于asushotfix[.]com的命令和控制服务器下载。该服务器在去年11月就已被关闭,因此无法获得恶意软件样本。

 

卡巴斯基的研究人员还发现,受感染的ASUS Live Update安装程序使用合法的“ASUSTeK Computer Inc.”的数字签名,这些证书“托管在liveupdate01s.asus[.]com和liveupdate01.asus[.]com华硕更新服务器上。”

 

带后门的ASUS Live Update安装程序签名证书


卡巴斯基表示,ShadowHammer中使用的方法与针对CCleaner和2017年NetSarang的ShadowPad供应链攻击中使用的方法相似。

 

GReAT表示,卡巴斯基已于1月31日联系华硕,向他们通报了针对Asus Live Update工具的供应链攻击,同时也提供了攻击中使用的恶意软件以及IOC的详细信息。尽管华硕已被告知此次攻击,但它没有与卡巴斯基保持积极的沟通,也没有向华硕用户发出警告。

 

此外,卡巴斯基为想要确认电脑是否受到ShadowHammer影响的用户提供了离线实用程序和在线web检查器。



注:本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com

推荐阅读:


▼点击“阅读原文” 查看更多精彩内容


喜欢记得打赏小E哦!



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存