知情不报|华硕 Live Update 被曝后门，超百万用户遭供应链攻击

 聚焦源代码安全，网罗国内外最新资讯！

编译：360代码卫士团队

卡巴斯基实验室在2019年1月检测到一个新的 APT 攻击活动在2018年6月至11月期间影响100多万名下载了华硕 Live Update Utility （在线更新驱动程序）的用户。

卡巴斯基全球研究和分析 (GReAT) 团队将这次供应链攻击活动称为“Operation ShadowHammer”，最初由 Kim Zetter 披露，它导致超过5.7万名卡巴斯基用户下载并安装了后门版本的华硕 Live Update。

虽然卡巴斯基实验室仅能发布受木马版本的华硕 Live Update 影响且同时运行卡巴斯基实验室安全解决方案的用户总数，但团队推测应该有超过一百万名用户正在使用受攻陷的机器。

GReAT 在报告中指出，“华硕 Live Update 是一款预装在多数华硕电脑上的工具，用于自动更新某些组件如 BIOS、UEFI、驱动程序和应用程序。另外，高德纳指出，从2017年的销售情况来看，话说是全球第五大个人电脑供应商。这导致它的用户对 APT 有极大的吸引力。”

受影响最严重的国家和地区是俄罗斯、德国、法国、意大利、美国、西班牙、波兰、英国、瑞士、葡萄牙、加拿大、中国台湾、奥地利、日本和巴西。超过18%的受害者位于俄罗斯，不足2%的受害者分布在中国台湾。

GReAT 团队表示，被传播的受感染的华硕 Live Update 二进制具有多个版本，每个版本都针对的是“不明确的用户池，他们都是通过网络适配器的 MAC 地址确定的”。

ShadowHammer行动背后的攻击者使用硬编码的 MAC 地址列表来检测他们的后门是否已到达使用攻击列表中 MAC 地址的机器上，卡巴斯基成功地从200多个样本中收集到600多个 MAC 地址。研究人员表示，“如果 MAC 地址和其中一个条目匹配，那么恶意软件就会下载下一个阶段的恶意代码。否则，遭渗透的更新程序不显示任何网络活动。”

第二个阶段的后门是从位于 asushotfix.com 服务器上的命令和控制服务器中下载。该服务器最终在2018年11月关闭，要比卡巴斯基实验室检测到该恶意活动的时间早得多，因此导致卡巴斯基实验室无法获取恶意软件样本。

卡巴斯基实验室的研究人员还发现，后门版的华硕 Live Update 设置安装程序同时还通过合法的“ASUSTeK Computer Inc.”的证书进行数字签名。这些证书“被托管在官方的 liveupdate01s.asus.com和liveupdate01.asus.com 华硕更新服务器上。”

GReAT 团队表示，卡巴斯基在1月31日联系华硕攻击通知此事，并提供了用于攻击和妥协指标 (IOC) 中的恶意软件详情。尽管如此，华硕被指未和卡巴斯基维护积极主动的通信渠道，且未能向华硕用户发出警告。

卡巴斯基还有证据表明，“ShadowHammer 行动”期间所使用的方法和 CCleaner 遭受的攻击以及2017年爆发的针对 NetSarang 的ShadowPad 供应链攻击的方法一致。GReAT 团队表示，后者的攻击者被称为“BARIUM”，即 Winnti 后门，是微软、ESET和其它公司的安全研究人员已知的。

卡巴斯基还发布了一款官方工具和在线 web 查看器，供用户查看自己的电脑是否受“ShadowHammer 行动”的影响。GReAT 表示，该查看器主要是“通过比对所有适配器的 MAC 地址和恶意软件中硬编码的预设值列表，如发现匹配则发出警告。”

目前，华硕公司尚未作出回应。

原文链接

https://www.bleepingcomputer.com/news/security/asus-live-update-infected-with-backdoor-in-supply-chain-attack/

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士 www.codesafe.cn”。