據(jù)外媒報(bào)道，安全專家發(fā)現(xiàn)了一項(xiàng)新型的復(fù)雜APT攻擊行動(dòng)，該行動(dòng)可能通過一個(gè)后門實(shí)用程序感染了超過一百萬的華碩用戶。

新的供應(yīng)鏈攻擊：ShadowHammer行動(dòng)來襲

CCleaner hack大家一定不陌生。

CCleaner hack是最大的供應(yīng)鏈攻擊之一，在2017年9月使用該軟件的后門版本感染了超過230萬用戶。

近日，俄羅斯卡巴斯基實(shí)驗(yàn)室揭露了另一個(gè)巨大的供應(yīng)鏈攻擊行動(dòng)，該攻擊可能破壞臺(tái)灣科技巨頭生產(chǎn)的100多萬臺(tái)計(jì)算機(jī)華碩。

該行動(dòng)被稱為ShadowHammer，行動(dòng)背后的團(tuán)隊(duì)專注于近年來影響CCleaner和ShadowPad 合法軟件的供應(yīng)鏈攻擊。

去年6月至11月期間，一群由國家贊助的黑客成功劫持了ASUS Live自動(dòng)軟件更新服務(wù)器，并推動(dòng)惡意更新，在全球超過一百萬臺(tái)Windows計(jì)算機(jī)上安裝后門。

在分析了200多個(gè)惡意更新樣本后，研究人員發(fā)現(xiàn)，黑客不希望以所有用戶為目標(biāo)，而只是針對(duì)由其唯一MAC地址識(shí)別的特定用戶列表，這些用戶被硬編碼到惡意軟件中。

“我們能夠從這次攻擊中使用的200多個(gè)樣本中提取600多個(gè)獨(dú)特的MAC地址。當(dāng)然，可能還有其他樣本在其列表中有不同的MAC地址。” 研究人員說。

與CCleaner和ShadowPad黑客一樣，惡意文件是使用合法的華碩數(shù)字證書簽署的，以使其看起來像是公司的官方軟件更新，并且長時(shí)間未被發(fā)現(xiàn)。

目前研究人員沒有將攻擊歸咎于任何APT小組，但某些證據(jù)顯示該攻擊與2017年的ShadowPad事件有關(guān)，亞洲其他三家計(jì)算機(jī)供應(yīng)商也以類似的方式成為攻擊目標(biāo)，微軟將此歸因于Winnti后門背后的BARIUM APT。

 “這一新的攻擊行動(dòng)是當(dāng)今智能供應(yīng)鏈攻擊的復(fù)雜性和危險(xiǎn)性的典型例子。擁有龐大客戶群的供應(yīng)商對(duì)于APT組織來說是非常有吸引力的目標(biāo)。目前尚不清楚攻擊者的最終目標(biāo)是什么，我們?nèi)栽谘芯抗舻哪缓蠛谑帧?rdquo;卡巴斯基全球研究與分析團(tuán)隊(duì)的APAC主任Vitaly Kamluk表示。

受影響電腦——卡巴斯基：一百萬VS華碩：數(shù)百臺(tái)

根據(jù)卡巴斯基的說法，至少有57,000名卡巴斯基用戶下載并安裝了華碩Live Update的后門版本。

“我們無法僅根據(jù)我們的數(shù)據(jù)計(jì)算受影響用戶的總數(shù);但是，我們估計(jì)問題的實(shí)際規(guī)模要大得多，可能影響全球超過一百萬用戶。”卡巴斯基稱。

卡巴斯基檢測到惡意軟件感染了來自世界各地的用戶，大多數(shù)受害者來自俄羅斯，德國，法國，意大利和美國等。

卡巴斯基已經(jīng)向華碩和其他反病毒公司通報(bào)了此次襲擊事件的調(diào)查。

對(duì)此，華碩回應(yīng)，此事件已在華碩的管理及監(jiān)控之中。華碩稱，媒體報(bào)道華碩Live Update工具程序可能遭受特定APT集團(tuán)攻擊，APT通常由第三世界國家主導(dǎo)，針對(duì)全世界特定機(jī)構(gòu)用戶進(jìn)行攻擊，甚少針對(duì)一般消費(fèi)用戶。經(jīng)過華碩的調(diào)查和第三方安全顧問的驗(yàn)證，目前受影響的數(shù)量是數(shù)百臺(tái)，大部份的消費(fèi)者用戶原則上并不屬于APT集團(tuán)的鎖定攻擊范圍。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:網(wǎng)絡(luò)

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明