Перейти к содержанию

Вредоносные обновления для программ ASUS от APT-группы ShadowHammer

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot

KL FC Bot

Опубликовано
Опубликовано

Благодаря одной из наших новейших технологий, способной выявлять атаку через цепочку поставок, эксперты «Лаборатории Касперского» обнаружили, вероятно, один из крупнейших инцидентов такого рода (помните историю с CCleaner? В этот раз масштабы еще больше). Киберпреступники добавили бэкдор в утилиту ASUS Live Update, которая доставляет обновления BIOS, UEFI и ПО на ноутбуки и настольные компьютеры ASUS, а затем распространяли модифицированную программу через официальные каналы.

shadow-hammer-teaser-featured-1024x672.j

Превращенная в троян утилита была подписана легитимным сертификатом и размещена на официальном сервере обновлений ASUS, что позволило ей долгое время оставаться незамеченной. Преступники позаботились даже о том, чтобы размер у вредоносной утилиты был точно таким же, как у настоящей.

Согласно нашей статистике, более 57 000 пользователей продуктов «Лаборатории Касперского» установили утилиту с бэкдором. Общее же число жертв, вероятно, составляет порядка миллиона. Однако группировку, стоящую за этой атакой, весь миллион не интересует: они нацелились на 600 определенных MAC-адресов, хэши которых были зашиты в различные версии утилиты.

Расследуя атаку, мы обнаружили, что те же самые техники использовались и для заражения ПО трех других производителей. Разумеется, мы немедленно уведомили ASUS и другие компании об атаке. На настоящий момент все решения «Лаборатории Касперского» обнаруживают и блокируют модифицированные злоумышленниками утилиты, однако мы все же рекомендуем вам обновить ASUS Live Update Utility, если вы ею пользуетесь. Расследование пока продолжается.

Если вам интересны подробности крупнейшей в истории атаки через цепочку поставок (технические нюансы, индикаторы компрометации, кто стал жертвами и так далее) и нужны советы, как защитить себя от подобных рисков, рекомендуем посетить SAS 2019 — самую жаркую конференцию по безопасности в мире, которая начнется 8 апреля в Сингапуре. Там APT-группировке ShadowHammer мы посвятим отдельный доклад – и поведаем о ней много интересных подробностей. Билеты почти распроданы, так что советуем поторопиться.

Впрочем, есть и другой вариант — после начала SAS мы опубликуем полный отчет о расследовании на сайте securelist.ru. Следите за новостями!



Читать далее >>
Ссылка на комментарий
Поделиться на другие сайты
oit

oit

Опубликовано
Опубликовано
они нацелились на 600 определенных MAC-адресов, хэши которых были зашиты в различные версии утилиты.

 

интересно было бы узнать этих счастливчиков

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • PitBuLL
      Как запустить проверку поиска для обновления программ?
      Автор PitBuLL
      Как запустить проверку поиска для обновления программ в Kaspersky Plus?
      В Kaspersky Plus появилось уведомление - Нашли 1 обновление для вашего приложения. 
      Это приложение Adobe Acrobat. Я его обновил сам, открыв Adobe Acrobat, проверил наличие обновлений, обновил. Версия Adobe Acrobat теперь актуальная 25.001.20623. 
      Но в Kaspersky Plus всё равно, уже больше суток висит сообщение -  Нашли 1 обновление для вашего приложения (что нужно обновить Adobe Acrobat, Версия 25.001.20623, Размер 638 Мб).
      Или как убрать это оповещение?
    • Technician6
      Не переносятся компьютеры в группу.
      Автор Technician6
      Имеем корп сервер KSC14 - компьютеры видны, но в управляемых, когда переносишь их в нужную группу, они просто не переносятся и вываливается ошибка как на скрине.

       
      ни через веб интерфейс ни через консоль не переносится. Вопрос, как исправить?
    • Mazahis666
      Подозреваю наличие вирусов и вредоносного ПО.
      Автор Mazahis666
      При использовании Пк периодически гаснет монитор на несколько секунд, стал вылетать браузер-игры-приложения без обьяснения причин. Пк постоянно загружен на 50 и более процентов при использовании браузера, есть подозрения чт подхватил вирус при установке виндоус или каких либо программ. Почитал темы на форуме, ничего не понятно... И да пк достаточно нормальный по характеристикам. Винда 11 прошка лиц.
    • Sapfira
      Программа для снятия скриншотов
      Автор Sapfira
      Нужна программа для создания скриншотов (в связи с тем, что на клавиатуре нет кнопки "Принтскрин"), чтобы скриншоты автоматически сохранялись в определенной папке без открытия редактора и прочих окон. Нажал клавишу или сочетание, скриншот молча (ну или со звуком) сохранился и всё, ничего не вылазит.
      Должна уметь снимать где-угодно, хоть в браузере, хоть в играх, хоть в любой программе. И должна быть лёгкой, чтобы могла работать параллельно с тяжёлой игрой не отнимая много ресурсов.
       
      Спросила у Нейрика, он предложил ScreenshotMaker, по параметрам, вроде, подходит, но она старая (2013 год), нужно что-то свежее.
       
    • DAV
      программа вымогатель
      Автор DAV
      в пятницу лег сервер: зашифрованы все системные файлы и вся база 1С. Также файлы на зеркальном диске, а бэкапы на другом диске почему-то оказались повреждены (копировались каждый вечер).
      в закодированном файле текст в таких иероглифах: "... ৸믻䀹ᑞஞ樱惒孌ڨ쎩델꥛睟괎䦝捰㨿秡﹈贆Ŵ䣍㥶﬍ຌ̒螐꯵ॶㅈ鹧ӷ፮箈ꥦ 樟倣폃웘붾셳炼..."
      один из файлов 1С теперь с таким названием: 1Cv8.lgf.id-DEB1FBBC.[James2020m@aol.com].MUST.id[DEB1FBBC-3259].[restore1_helper@gmx.de].
       
      кто знает, как вернуться к "родной" кодировке, подскажите, пожалуйста.
       
      P.S. "доброжелатели" в сопутствующем info письме указали адреса для контакта: restore1_helper@gmx.de или restore2_helper@mein.gmx.
×
×
  • Создать...