ShadowHammer攻擊行動：最新供應鏈攻擊威脅全球數十萬用戶

卡巴斯基實驗室發現了一種新的高級可持續性威脅（APT）攻擊行動，通過供應鏈攻擊影響了大量用戶。我們的研究發現，ShadowHammer行動幕後的威脅攻擊者的攻擊目標為華碩實時更新應用程序的用戶，其至少在2018年6月至11月期間向用戶設備註入了後門程序，危及全球超過5萬用戶的安全。

供應鏈攻擊是最危險和有效的感染途徑之一，在過去幾年越來越多地被用於高級攻擊行動——我們在ShadowPad或CCleaner攻擊中就見到過這類攻擊。這種攻擊針對產品生命周期中涉及的人力、組織、物資和智力資源的互連繫統中的特定弱點：從初始開發階段到最終用戶。儘管供應商的基礎設施是安全的，但其提供商的設施中可能包含漏洞，從而危害到供應鏈，導致毀滅性和意外的數據泄露事故。

ShadowHammer幕後的攻擊者以攻擊華碩的實時更新應用程序為感染初始源。這種實時更新應用程序是一種預裝應用，被安裝到大多數新的華碩計算機中，用於自動進行BIOS、UEFI驅動和應用程序更新。攻擊者使用竊取到的華碩數字證書對舊版本的華碩軟體進行更改，注入自己的惡意代碼。包含木馬的華碩應用程序使用了合法的數字簽名，並且被放到官方的華碩更新伺服器上進行傳播和下載，這使得大多數安全解決方案無法將其識別出來。

雖然這意味著使用受影響軟體的每個用戶都可能成為受害者，但ShadowHammer幕後的攻擊者似乎只關注獲得幾百個他們之前已了解的用戶的設備訪問權。卡巴斯基實驗室研究人員發現，每個後門程序的代碼中都包含一個硬編碼MAC地址表，而MAC地址則是網路適配器的唯一識別標識符，用戶將計算機連接到網路。一旦後門程序在受害者設備上運行，後門程序會將設備的MAC地址與地址表中的Mac地址進行比較。如果受感染設備的MAC地址與地址表中的地址匹配，惡意軟體會下載下一步驟的惡意代碼。否則，包含惡意代碼的更新程序不會有任何網路行為，這就是為什麼這種惡意攻擊行動能夠維持這麼長時間不被發現的原因。卡巴斯基實驗室安全專家共發現了超過600個MAC地址。這些受感染設備遭到超過230個不同的後門程序樣本的攻擊。

模塊化的攻擊手段以及在執行代碼時採取的額外預防措施，以避免意外的代碼或數據泄露，這些證據都表明，對這次複雜攻擊的幕後攻擊者來說，要保持不被發現非常重要，這樣他們就可以以手術一樣的精準度對特定目標進行攻擊。深入的技術分析顯示，這些攻擊者的攻擊工具非常先進，反映了其組織內部的高度發展情況。

在搜尋類似的惡意軟體過程中，又發現了三家來自亞洲的供應商的軟體也被利用相似的手段和技術植入了後門程序。卡巴斯基實驗室已經將這些問題上報給華碩公司和其他供應商。

「對APT攻擊組織來說，選定的這些供應商是非常具有吸引力攻擊目標，以便利用他們龐大的客戶群。目前還不清楚攻擊者的最終目的是什麼，我們仍在調查其幕後的攻擊者到底是誰。然而，用於實現未經授權的代碼執行的技術以及其他發現的特徵，表明ShadowHammer可能與BARIUM APT有關，而BARIUM之前又與ShadowPad和CCleaner攻擊行動存在關聯。這次的攻擊行動再一次表明，如今的智能供應鏈攻擊能夠有多麼危險和複雜，」卡巴斯基實驗室亞太區全球研究和分析團隊總監VitalyKamluk說。

所有卡巴斯基實驗室產品均能夠成功檢測和攔截ShadowHammer攻擊行動中使用的惡意軟體。

為了避免成為已知或未知威脅攻擊者發動的針對性攻擊的受害者，卡巴斯基實驗室建議用戶採取以下措施：

·除了採取必需的端點保護外，還需要部署企業級安全解決方案，在早期階段檢測網路層面的高級威脅，例如卡巴斯基反針對性攻擊平台；

·在端點級別的檢測、調查以及事故及時修復方面，我們建議部署EDR解決方案，例如卡巴斯基端點檢測和響應，或者聯繫專業的事故響應團隊；

·將威脅情報訂閱內容集成到您企業的SIEM和其他安全控制系統中，以便獲取到最新的相關威脅數據，為應對未來攻擊做好準備。

卡巴斯基實驗室將在於4月9日-11日在新加坡舉辦的2019網路安全峰會上介紹有關ShadowHammer攻擊行動的詳細發現。

卡巴斯基威脅情報服務客戶可以獲取有關ShadowHammer攻擊行動的完整報告。

有關這次攻擊介紹的博文以及一款用於檢測用戶設備是否成為攻擊目標的工具詳情，請參見Securelist.

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！