今年對於華碩來說,可能是流年不利的一年。今年3月底,來自卡巴斯基實驗室(Kaspersky Labs)的安全研究人員近日表示,他們發現去年黑客通過華碩 Live Update 軟件的漏洞入侵計算機,向100多萬華碩電腦用戶發送了惡意軟件,導致這些電腦可能存在後門。

華碩設備再出漏洞,被注入Plead 後門 新聞 第1张

僅僅過了一個多月,安全廠商ESET發現,APT組織BlackTech透過家用路由器以及中間人攻擊(man-in-the middle,MitM)手法,對華碩網絡硬盤服務WebStorage軟件感染惡意程式。

APT組織BlackTech

ESET研究人員最近發現,黑客藉助受損的路由器,針對華碩合法WebStorage軟件進行中間人攻擊,並分發Plead惡意軟件以創建後門。ESET是在中國台灣檢測到這起新的攻擊活動,這是Plead惡意軟件最為活躍的地區。此前曾有報道稱,APT組織BlackTech使用Plead惡意軟件進行針對性攻擊,主要集中在亞洲的網絡間諜活動中。

BlackTech是一個網絡間諜組織,以東亞,特別是台灣,有時甚至還包括日本和香港的目標為主。根據其一些C&C服務器的互斥和域名,BlackTech的攻擊活動可能旨在竊取其攻擊目標的技術。隨着他們的活動和不斷發展的戰術和技巧,趨勢科技的研究人員已經把近些年來看似不相關的三個網絡攻擊活動PLEAD, Shrouded Crossbow和Waterbear聯系在了一起。

研究人員分析了這幾種攻擊過程的方式,並解析了它們的使用工具,最終發現了共同點,也就是說Plead、Shrouded Crossbow和Waterbear實際上是由同一個組織操作的。

其中Plead執行的是信息盜竊活動,而且傾向於保密文件在PLEAD攻擊活動里,自2012年以來,已經針對台灣政府機構和私營機構進行了多次攻擊。PLEAD的工具包包括自命名的PLEAD後門和DRIGO exfiltration工具。

中間人/供應鏈攻擊注入Plead後門

2019年4月下旬,ESET研究人員使用遙測技術,觀察到黑客多次嘗試以不尋常的方式部署此惡意軟件。具體來說,Plead後門是由名為AsusWSPanel.exe的合法進程創建和執行的。此進程歸屬華碩WebStorage雲存儲服務的客戶端。這個可執行文件由華碩雲公司進行數字簽名。

華碩設備再出漏洞,被注入Plead 後門 新聞 第2张

黑客可能有權訪問更新機制,這種情況表明存在兩種攻擊情形:

第一種解釋是,ESET懷疑這很可能是一個中間人(MitM)攻擊場景,ESET的研究員Anton Cherepanov解釋說:“華碩WebStorage軟件很容易受到這種類型的攻擊。使用HTTP請求和傳輸進行軟件更新,下載更新並準備執行後,WebStorage軟件在執行前不會驗證其真實性。因此,如果更新過程被攻擊者截獲,他們就可以推送任意惡意軟件。”

據之前報道的關於Plead惡意軟件的研究,它還會破壞易受攻擊的路由器,甚至將它們用作惡意軟件的C&C服務器。“我們的調查發現大多數受影響的組織都使用同一製造商生產的路由器。此外,這些路由器的管理面板可從互聯網訪問。因此,我們認為針對路由器級別的MitM攻擊是最可能的情況,”Anton Cherepanov補充道,並提出了這樣的建議:“軟件開發人員不僅要徹底監控他們的環境以防止可能的入侵,而且還要在其產品中實施適當的更新機制,以抵禦MitM攻擊。”

除了以上推測,第二種可能的解釋是基於供應鏈類型的攻擊。對供應鏈的攻擊提供了無限的機會,可以同時悄悄地破壞大量目標,正如ESET博客文章詳細闡述的那樣。

華碩設備再出漏洞,被注入Plead 後門 新聞 第3张

中間人攻擊情景圖

該圖展示了最常用於通過受損路由器向目標傳遞惡意負載的攻擊過程。

華碩回應

“華碩雲首次了解到2019年4月下旬發生的一起事件,當時一位遭受安全問題的客戶與我們取得聯系。在得知此事件後,華碩雲立即採取行動,通過關閉華碩WebStorage更新服務器並停止來緩解攻擊發布所有華碩WebStorage更新通知,從而有效地阻止攻擊。

“為了應對這次攻擊,華碩雲已經改進了更新服務器的主機架構,並實施了旨在加強數據保護的安全措施。這將防止未來發生類似攻擊。不過,華碩雲強烈建議華碩WebStorage服務的用戶立即運行完整的病毒掃描,以確保您的個人數據的完整性。”