Киберпреступники пять месяцев контролировали ASUS Live Update

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.


Как сообщает «Лаборатория Касперского», хакеры из APT-группировки ShadowHammer 5 месяцев контролировали сервис обновлений ASUS Live Update и заразили более полумиллиона компьютеров по всему миру.

Исследователи из «Лаборатории Касперского» обнаружили, что в прошлом году злоумышленники взломали сервер ASUS, который отвечал за обновления программного обеспечения компании. Злоумышленники разместили на сервере вредоносный файл с бэкдором, подписанный валидным сертификатом ASUS.

Скомпрометированный сертификат 05e6a0be5ac359c7ff11f4b467ab20fc:

image
[изображение — securelist.com]

Большинство зараженных объектов, обнаруженных экспертами «Лаборатории Касперского», находились в России (около 18%). По информации Symantec, минимум 13 000 компьютеров, принадлежащих клиентам компании, были заражены обновлением вредоносного программного обеспечения от ASUS в прошлом году в США.

Статистика заражений:

image
[изображение — securelist.com]

Предполагается, что злоумышленники должны были скомпрометировать около 600 целей, которые идентифицировались по MAC-адресам компьютеров.

Вредоносная программа искала целевые системы по их уникальным MAC-адресам. Попав в систему и обнаружив один из этих целевых адресов, вредоносная программа обращалась к командно-контрольному серверу, на котором работали злоумышленники, после чего на эти машины было установлено дополнительное вредоносное ПО.

В данной APT были задействованы следующие узлы:

С&C:
asushotfix[.]com
141.105.71[.]116


Распространение:
hxxp://liveupdate01.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER365.zip
hxxps://liveupdate01s.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER362.zip
hxxps://liveupdate01s.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER360.zip
hxxps://liveupdate01s.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER359.zip
«Эта атака показывает, что используемая нами модель доверия, основанная на известных именах поставщиков и проверке цифровых подписей, не может гарантировать, что вы защищены от вредоносных программ», — отметил Виталий Камлюк, директор Азиатско-Тихоокеанского региона по глобальным исследованиям и анализу «Лаборатории Касперского». Он отметил, что ASUS никак не прокомментировала взлом и оставила без внимания сообщения от экспертов «Лаборатории Касперского» о взломанном сервисе и скомпрометированном сертификате.
В адрес компании направлены дополнительные запросы издательства Motherboard и компании Symantec.

Утилита для проверки, не входит ли ваш MAC-адрес в список приоритетных целей. Онлайн-проверка.
Источник: https://habr.com/ru/company/jetinfosystems/blog/445256/


Интересные статьи

Интересные статьи

Сегодня вышла Windows 10 October 2020 Update (20H2). Финальным билдом стал 19042.572. Это обновление ориентировано на исправление ошибок и увеличение производительности, ...
История сегодня пойдёт про автосервис в Москве и его продвижении в течении 8 месяцев. Первое знакомство было ещё пару лет назад при странных обстоятельствах. Пришёл автосервис за заявками,...
Компании переполнили рынок товаров и услуг предложениями. Разнообразие наблюдается не только в офлайне, но и в интернете. Достаточно вбить в поисковик любой запрос, чтобы получить подтверждение насыще...
Одной из «киллер-фич» 12й версии Битрикса была объявлена возможность отдавать статические файлы из CDN, тем самым увеличивая скорость работы сайта. Попробуем оценить практический выигрыш от использова...
Практически все коммерческие интернет-ресурсы создаются на уникальных платформах соответствующего типа. Среди них наибольшее распространение получил Битрикс24.