Перейти к содержанию

Вредоносные обновления для программ ASUS от APT-группы ShadowHammer

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Благодаря одной из наших новейших технологий, способной выявлять атаку через цепочку поставок, эксперты «Лаборатории Касперского» обнаружили, вероятно, один из крупнейших инцидентов такого рода (помните историю с CCleaner? В этот раз масштабы еще больше). Киберпреступники добавили бэкдор в утилиту ASUS Live Update, которая доставляет обновления BIOS, UEFI и ПО на ноутбуки и настольные компьютеры ASUS, а затем распространяли модифицированную программу через официальные каналы.

shadow-hammer-teaser-featured-1024x672.j

Превращенная в троян утилита была подписана легитимным сертификатом и размещена на официальном сервере обновлений ASUS, что позволило ей долгое время оставаться незамеченной. Преступники позаботились даже о том, чтобы размер у вредоносной утилиты был точно таким же, как у настоящей.

Согласно нашей статистике, более 57 000 пользователей продуктов «Лаборатории Касперского» установили утилиту с бэкдором. Общее же число жертв, вероятно, составляет порядка миллиона. Однако группировку, стоящую за этой атакой, весь миллион не интересует: они нацелились на 600 определенных MAC-адресов, хэши которых были зашиты в различные версии утилиты.

Расследуя атаку, мы обнаружили, что те же самые техники использовались и для заражения ПО трех других производителей. Разумеется, мы немедленно уведомили ASUS и другие компании об атаке. На настоящий момент все решения «Лаборатории Касперского» обнаруживают и блокируют модифицированные злоумышленниками утилиты, однако мы все же рекомендуем вам обновить ASUS Live Update Utility, если вы ею пользуетесь. Расследование пока продолжается.

Если вам интересны подробности крупнейшей в истории атаки через цепочку поставок (технические нюансы, индикаторы компрометации, кто стал жертвами и так далее) и нужны советы, как защитить себя от подобных рисков, рекомендуем посетить SAS 2019 — самую жаркую конференцию по безопасности в мире, которая начнется 8 апреля в Сингапуре. Там APT-группировке ShadowHammer мы посвятим отдельный доклад – и поведаем о ней много интересных подробностей. Билеты почти распроданы, так что советуем поторопиться.

Впрочем, есть и другой вариант — после начала SAS мы опубликуем полный отчет о расследовании на сайте securelist.ru. Следите за новостями!



Читать далее >>
Ссылка на комментарий
Поделиться на другие сайты
oit Мудрец

oit

Опубликовано
Опубликовано
они нацелились на 600 определенных MAC-адресов, хэши которых были зашиты в различные версии утилиты.

 

интересно было бы узнать этих счастливчиков

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Pavel Postnikov
      Не переносятся хосты в группу
      От Pavel Postnikov
      Проблема заключается в том что при нормально установленных и рабочих агенте и клиенте (полностью работоспособных) хост не переносится
      в другую группу.
      Удаляли клиент. С работающим агентом переносили хост в другую группу (переносится) а после установки клиента возвращается в исходную
      при этом невозможно перетащить хост в другую группу.
      Хосты сервера в кластере.
    • vlanzzy
      Вредоносное заражение с task.vbs
      От vlanzzy
      CollectionLog-2024.12.19-19.35.zip
      Произошло заражение вирусом, выполнял проверку через KVRT и смог удалить вирусы, но теперь запускается task.vbs
       
    • MiStr
      Группа Активисты: правила и заявки на вступление
      От MiStr
      В данной теме Администрация Клуба «Лаборатории Касперского» проводит приём заявок участников клуба на вступление в группу Активисты.
      .
      .
      КАК ВСТУПИТЬ?
      Набрать не менее 150 сообщений в разделах с включённым счётчиком сообщений. Иметь репутацию не ниже 50 пунктов. Иметь срок пребывания на форуме не менее 6 месяцев. Не иметь серьёзных нарушений, отмеченных в Центре предупреждений пользователя, за последние 6 календарных месяцев. Подать заявку на вступление в указанную группу. Вступление в группу добровольное. Администрация клуба может перевести пользователя в группу «Активисты» по своему усмотрению, даже если это противоречит правилам вступления. Заявки нужно подавать в этой теме с использованием шаблона: Прошу принять меня в группу Активисты.

      Количество сообщений: ХХХ из 150 необходимых.
      Репутация: ХХ из 50 необходимых.
      Непогашенные предупреждения, отмеченные в Центре предупреждений, за последние 6 месяцев отсутствуют.
      Дата регистрации ДД.ММ.ГГГГ, с момента регистрации прошло более 6 месяцев.
      .
      .
      ПРЕИМУЩЕСТВА
       
      Повышение статуса пользователя на форуме в качестве благодарности за активность. Скидка в Магазине сувениров — 15%. Свой закрытый раздел на форуме (общий для Активистов и Старожилов). Возможность получить Членский билет клуба. Увеличенные размер ящика личных сообщений и время редактирования своих сообщений по сравнению с группой «Участники». Получение беспроцентного кредита размером не более 1'000 баллов. Лимит на изменение репутации другим пользователям — до 35 пунктов в сутки.  
      .
      ОБЯЗАННОСТИ
       
      С уважением относиться ко всем гостям и членам клуба, вне зависимости от их опыта, возраста, национальной принадлежности, религиозных убеждений и иных предпочтений. Быть вежливыми, дисциплинированными и ответственными, следить за своим поведением, строго следовать положениям Устава и Правилам форума. Не производить действия, намерено направленные на создание негативной репутации клуба и «Лаборатории Касперского». Участвовать в жизни проекта (предлагать новые идеи, принимать участие во встречах, участвовать в продвижении клуба и продукции «Лаборатории Касперского»). Не разглашать информацию из закрытых разделов форума.  
      .
      ИСКЛЮЧЕНИЕ ИЗ ГРУППЫ
       
      Нахождение в группе «Активисты» возможно только при исполнении пользователем обязанностей своей группы, перечисленных в положениях Устава. В случае, если пользователь не выполняет всех обязанностей своей группы только последнее полугодие, он уведомляется, что может быть исключён из соответствующей группы. В случае, если пользователь находится в соответствующей группе менее трёх месяцев, проверка исполнения им обязанностей группы не производится. Исключение из группы возможно за грубое намеренное нарушение Правил форума или разглашение информации из закрытых разделов форума. Решение об исключении из группы «Активисты» принимается Советом клуба. Член группы «Активисты» переводится в группу «Участники». Совет клуба без объяснения причин может не исключать пользователя из группы, независимо от соблюдения им формальных критериев нахождения в группе.  
      .
      ПОВТОРНОЕ ВСТУПЛЕНИЕ
       
      Повторное вступление в группу «Активисты», снятую за разглашение закрытой информации, невозможно. Повторное вступление в группу «Активисты» производится по заявке Участника на общих основаниях. Для повторного вступления в группу «Активисты» необходимо иметь не менее 25 сообщений за последний месяц в разделах с включённым счётчиком сообщений. Повторное вступление в группу «Активисты» (повторная подача заявки в случае отклонения предыдущей) возможно не ранее, чем через 2 месяца после перевода в группу «Участники» или подачи предыдущей заявки. Вступать в группу «Активисты» можно неограниченное количество раз.  
      .
      ПЕРСПЕКТИВЫ
       
      Вступление в группу Старожилы.  
      .
      Вопрос-ответ:
      .
      .
      p.s. Поблагодарить Администрацию за перевод в группу вы можете плюсом в репутацию. Пожалуйста, не нужно писать отдельное сообщение. Здесь только заявки и решения по ним.
    • KL FC Bot
      «Лаборатория Касперского» обнаружила криптовалютную игру от APT Lazarus | Блог Касперского
      От KL FC Bot
      Игра Battle City, более известная как танчики, — символ давно ушедшей эпохи. Около 30 лет назад геймеры вставляли картридж в приставку, садились за пузатые телевизоры и пачками уничтожали вражеские танки до тех пор, пока кто-нибудь им не скажет про «кинескоп, который вот-вот должен сесть».
      Сегодня мир совсем другой, а танчики по-прежнему популярны. Дело в том, что современные аналоги предлагают геймерам не только поиграть, но и заработать NFT-токены. Злоумышленники тоже кое-что предлагают: сложную атаку для любителей криптовалютных игр.
      Бэкдор и эксплойт уязвимости нулевого дня в Google Chrome
      Эта история началась в феврале 2024 года, когда наше защитное решение обнаружило проникновение бэкдора Manuscrypt на компьютер пользователя из России. Такой бэкдор нам давно известен, его различные версии используют члены группировки APT Lazarus как минимум с 2013 года. Но что особенного в этой истории, если мы прекрасно знаем основной инструмент и методы работы злоумышленников?
      Дело в том, что эти хакеры обычно нацелены на крупные организации: банки, IT-компании, университеты и даже правительственные организации. Теперь руки Lazarus дотянулись до физических лиц — бэкдор на компьютере частного пользователя! Киберпреступники заманили жертву на сайт игры и получили полный доступ к ее компьютеру. Злоумышленникам удалось это сделать благодаря трем составляющим:
      невероятному желанию жертвы сыграть в любимые танчики в новой оболочке; уязвимости нулевого дня в Google Chrome; наличию эксплойта, позволявшего удаленно выполнить код в процессе Google Chrome. Для тех, кто переживает: компания Google выпустила обновление браузера, заблокировала сайт танчиков и поблагодарила исследователей безопасности «Лаборатории Касперского». Но на всякий случай: наши продукты детектируют и бэкдор Manuscrypt, и эксплойт. Подробности этой истории мы раскрыли в блоге Securelist.
       
      View the full article
    • KL FC Bot
      BadRAM: атака при помощи вредоносного модуля RAM
      От KL FC Bot
      Исследователи из трех европейских университетов недавно продемонстрировали атаку BadRAM. Она стала возможна благодаря уязвимости в процессорах AMD EPYC и угрожает прежде всего поставщикам облачных решений и систем виртуализации. В наихудшем сценарии данная уязвимость может быть использована, чтобы скомпрометировать данные из максимально защищенной виртуальной машины.
      Впрочем, реализовать этот сценарий на практике будет достаточно нелегко. Атака предполагает физический доступ к серверу, а затем — максимальный уровень доступа к программному обеспечению. Однако, прежде чем обсуждать атаку BadRAM в деталях, стоит поговорить о концепции Trusted Execution Environment, или TEE.
      Особенности TEE
      Ошибки в программном обеспечении неизбежны. По разным оценкам, сделанным еще в девяностые годы прошлого века, на каждую тысячу строк кода приходится от 1 до 20 ошибок. Часть этих ошибок приводит к уязвимостям, через которые злоумышленники могут попробовать добраться до конфиденциальной информации. Поэтому в случаях, когда защищенность каких-то данных или цепочки вычислений (например, обработки секретных ключей шифрования) должна быть максимальной, имеет смысл изолировать эти данные (или вычисления) от всего остального кода. Примерно в этом и состоит концепция Trusted Execution Environment.
      Существует огромное количество реализаций TEE для решения различных задач. В процессорах AMD она реализована в виде технологии Secure Encrypted Virtualization, обеспечивающей повышенную защиту виртуальных машин. Она подразумевает шифрование данных виртуальной системы в памяти, чтобы системы других виртуальных машин или оператор физического сервера, на котором развернуты виртуальные ОС, не могли получить к ним доступ. Относительно недавно для этой технологии было выпущено расширение Secure Nested Paging, способное определить попытки несанкционированного доступа к данным виртуальной системы.
      Представьте себе сценарий, когда финансовая организация использует инфраструктуру стороннего подрядчика для работы своих виртуальных систем. На виртуальных ОС обрабатываются максимально конфиденциальные данные, и нужно обеспечить их стопроцентную безопасность. Можно предъявлять повышенные требования к подрядчику, но в некоторых случаях проще исходить из того, что ему нельзя полностью доверять.
       
      View the full article
×
×
  • Создать...