- A+
所属分类:未分类
威胁行为者已经破坏了华硕技术制造商更新机制,以安装恶意软件,允许在受感染的计算机上安装后门。 根据Web应用安全测试专家的说法,这是由于针对路由器的中间人 (MiTM)攻击活动,以利用华硕计算机用户和公司服务器之间的一些不安全的HTTP连接。
这种被称为Plead的恶意软件是由一群专门从事网络安全任务的黑客开发的,这些黑客被网络安全社区认定为BlackTech Group; 该集团主要攻击亚洲境内的私营公司和政府机构。
据专家介绍,在之前的机会中,该组织通过网络钓鱼电子邮件和受感染的路由器攻击D-Link等公司,将其用作命令和控制服务器来部署其恶意软件。
这次,Web应用程序安全测试专家发现BlackTech开发了一种在目标系统上部署Plead的新方法。 攻击者滥用了一个名为ASUS webstorage Upate.exe的文件,该文件包含在公司更新中。 经过调查,专家们确定感染是从这个位置创建并执行的,利用了合法的Windows进程和华硕数字签名。
专家发现,由于使用未加密的HTTP连接而非HTTPS连接,Asus WebStorage软件容易受到MiTM攻击(黑客通过连接控制数据传输),这些连接具有针对此攻击变体的默认保护。 此外,华硕在运行之前不会验证软件的真实性,因此攻击者可能会拦截合法的系统进程以注入恶意软件而不是公司的文件。
作为对此事件的回应,华硕云重新设计了其更新服务器的架构,并实施了一些保护以保护系统的敏感数据。 但是,国际网络安全研究所(IICS)的Web应用程序安全测试专家建议受感染计算机的用户执行防病毒分析,以证实黑客未访问其机密信息。
2019年5月17日
