據(jù)外媒報道，安全專家發(fā)現(xiàn)了一項新型的復雜APT攻擊行動，該行動可能通過一個后門實用程序感染了超過一百萬的華碩用戶。

新的供應鏈攻擊：ShadowHammer行動來襲

CCleaner hack大家一定不陌生。

CCleaner hack是最大的供應鏈攻擊之一，在2017年9月使用該軟件的后門版本感染了超過230萬用戶。

近日，俄羅斯卡巴斯基實驗室揭露了另一個巨大的供應鏈攻擊行動，該攻擊可能破壞臺灣科技巨頭生產(chǎn)的100多萬臺計算機華碩。

該行動被稱為ShadowHammer，行動背后的團隊專注于近年來影響CCleaner和ShadowPad 合法軟件的供應鏈攻擊。

去年6月至11月期間，一群由國家贊助的黑客成功劫持了ASUS Live自動軟件更新服務器，并推動惡意更新，在全球超過一百萬臺Windows計算機上安裝后門。

在分析了200多個惡意更新樣本后，研究人員發(fā)現(xiàn)，黑客不希望以所有用戶為目標，而只是針對由其唯一MAC地址識別的特定用戶列表，這些用戶被硬編碼到惡意軟件中。

“我們能夠從這次攻擊中使用的200多個樣本中提取600多個獨特的MAC地址。當然，可能還有其他樣本在其列表中有不同的MAC地址。” 研究人員說。

與CCleaner和ShadowPad黑客一樣，惡意文件是使用合法的華碩數(shù)字證書簽署的，以使其看起來像是公司的官方軟件更新，并且長時間未被發(fā)現(xiàn)。

目前研究人員沒有將攻擊歸咎于任何APT小組，但某些證據(jù)顯示該攻擊與2017年的ShadowPad事件有關，亞洲其他三家計算機供應商也以類似的方式成為攻擊目標，微軟將此歸因于Winnti后門背后的BARIUM APT。

 “這一新的攻擊行動是當今智能供應鏈攻擊的復雜性和危險性的典型例子。擁有龐大客戶群的供應商對于APT組織來說是非常有吸引力的目標。目前尚不清楚攻擊者的最終目標是什么，我們?nèi)栽谘芯抗舻哪缓蠛谑帧?rdquo;卡巴斯基全球研究與分析團隊的APAC主任Vitaly Kamluk表示。

受影響電腦——卡巴斯基：一百萬VS華碩：數(shù)百臺

根據(jù)卡巴斯基的說法，至少有57,000名卡巴斯基用戶下載并安裝了華碩Live Update的后門版本。

“我們無法僅根據(jù)我們的數(shù)據(jù)計算受影響用戶的總數(shù);但是，我們估計問題的實際規(guī)模要大得多，可能影響全球超過一百萬用戶。”卡巴斯基稱。

卡巴斯基檢測到惡意軟件感染了來自世界各地的用戶，大多數(shù)受害者來自俄羅斯，德國，法國，意大利和美國等。

卡巴斯基已經(jīng)向華碩和其他反病毒公司通報了此次襲擊事件的調(diào)查。

對此，華碩回應，此事件已在華碩的管理及監(jiān)控之中。華碩稱，媒體報道華碩Live Update工具程序可能遭受特定APT集團攻擊，APT通常由第三世界國家主導，針對全世界特定機構用戶進行攻擊，甚少針對一般消費用戶。經(jīng)過華碩的調(diào)查和第三方安全顧問的驗證，目前受影響的數(shù)量是數(shù)百臺，大部份的消費者用戶原則上并不屬于APT集團的鎖定攻擊范圍。

及時掌握網(wǎng)絡安全態(tài)勢 盡在傻蛋網(wǎng)絡安全監(jiān)測系統(tǒng)

【網(wǎng)絡安全監(jiān)管部門】免費試用

本文來源:網(wǎng)絡

如涉及侵權，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權內(nèi)容。
電話：400-869-9193 負責人：張明