尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
【PConline資訊】在深入調查後卡巴斯基表示,華碩並非是影錘(ShadowHammer)攻擊行動的唯一受害者,至少還有6家其他組織被攻擊者滲透。除了華碩之外,卡巴斯基表示還有來自泰國的遊戲發行商ElectronicsExtreme、網頁&IT基礎服務公司InnovativeExtremist、韓國遊戲公司Zepetto,另外還有來自韓國的一家視頻遊戲開發商、一家綜合控股公司和一家制藥公司。
影錘(ShadowHammer)攻擊行動在最初是在華碩的升級服務中發現的新型供應鏈攻擊方式。華碩電腦一般都默認預裝了華碩的LiveUpdateUtility軟件,用於更新華碩電腦專用的驅動、軟件、BIOS和補丁等,用戶在使用該軟件更新時可能會安裝植入後門程序的軟件更新包。黑客疑似入侵控制了華碩的更新服務,篡改使用合法證書簽署的安裝包,在官方給用戶推送的升級軟件包中加入了惡意代碼。
在隨後的深入調查中卡巴斯基的安全專家找到了很多採用類似算法的攻擊特徵,以及使用有效和合法證書簽署的其他惡意程序樣本,最終表明華碩並非唯一一家受到影錘(ShadowHammer)攻擊,滲透IT基礎設施的公司。專家發現了類似於華碩的惡意攻擊樣本,使用類似的算法來計算API函數的哈希值,並且在所有惡意樣本中廣泛使用IPHLPAPI.dll文件。
除了華碩之外,卡巴斯基還發現了來自其他三家亞洲遊戲公司也是本次攻擊的受害者,包括
● ElectronicsExtreme:僵屍生存遊戲《感染:幸存者故事》(Infestation:SurvivorStories)的開發商
● InnovativeExtremist:一家提供Web和IT基礎服務的公司,但同時也從事遊戲領域的開發
● Zepetto:開發視頻遊戲《特戰先鋒》(PointBlank)的韓國遊戲公司
除了上述三家遊戲公司之外,卡巴斯基還表示發現了三家被成功滲透的韓國企業,包括一家視頻遊戲開發商、一家綜合控股公司和一家制藥公司。目前卡巴斯基的研究人員仍在警告他們,他們也是ShadowHammer行動背後黑客組織發起的供應鏈攻擊的受害者。
據悉影錘(ShadowHammer)攻擊行動分為兩個階段:
第一個階段是無差別的大規模攻擊,黑客針對所有的華碩用戶推送惡意升級包,用戶安裝惡意升級包後都會啟動黑客植入的惡意代碼,等待進入第二個階段。
第二個階段是針對性的定向攻擊,只針對數百個目標用戶,惡意代碼會獲取用戶機器的MAC地址與數百個MAC地址比對,一旦匹配成功就會連接黑客的服務器激活更多的惡意代碼。
在成功入侵受害者系統之後,用作惡意軟件刪除程序的木馬化遊戲將首先檢查是否有多個流量/處理器監視工具正在運行,或者系統語言是否設置為簡體中文或俄語。如果檢測到上述任何一項為真,那麼後門將會自動停止執行。
如果成功通過了系統審查階段,那麼
惡意軟件將開始收集系統信息(網路適配器MAC地址,系統用戶名,系統主機名和IP地址,Windows版本,CPU架構,當前主機FQDNm,域名,當前可執行文件名,驅動器C:卷名稱和序列號,螢幕分辨率和系統默認語言ID)
在下一個感染階段,所有信息都通過HTTP通過POST請求發送到C&C服務器,然後後門將發送GET請求以接收命令。
發現了以下命令:
DownUrlFile -將URL數據下載到文件
DownRunUrlFile -將URL數據下載到文件並執行它
RunUrlBinInMem -下載URL數據並作為shellcode運行
UnInstall -設置註冊表標誌以防止惡意軟件啟動
UnInstall命令將註冊表值HKCUSOFTWAREMicrosoftWindows{0753-6681-BD59-8819}設置為1,這可防止惡意軟件再次與C2聯繫。沒有文件從磁盤中刪除,文件應該可以通過取證分析發現。