مجرمین سایبری در عملیاتی مخرب به نرم‌افزار بروزرسانی دستگاه‌های ASUS، با نام ASUS Live Update، نفوذ کرده و باعث نصب درپشتی در میلیون‌ها رایانه شدند.

نرم‌افزار بروزرسانی ASUS به درپشتی آلوده شدبه گزارش  حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، به نقل از پایگاه اینترنتی ZDNet، آزمایشگاه کسپرسکی در روز دوشنبه (۵ فروردین) اعلام کرد حملاتی را با عنوان Operation ShadowHammer مشاهده کرد که با سوء استفاده از ابزار ASUS Live Update Utility به تعداد زیادی از کاربران نفوذ شده است. این حملات بین ماه‌های ژوئن و نوامبر ۲۰۱۸ اتفاق افتاده است.

ابزار ASUS Live Update به طور پیش‌فرض در رایانه‌های ASUS نصب شده است. این ابزار به منظور دریافت بروزرسانی‌های درایورها، برنامه‌ها، BIOS و UEFI برای رایانه‌های ASUS طراحی شده است. این ابزار ارزشمند اخیرا مورد سوء استفاده مهاجمین سایبری قرار گرفته است. آزمایشگاه کسپرسکی و همچنین شرکت ASUS اعلام کرده‌اند که تعداد کاربران تحت تاثیر این عملیات مخرب بیش از یک میلیون کاربر در سراسر جهان است.

بدلیل اینکه ابزار بروزرسانی با گواهی قانونی ASUS امضا شده است و میزبان بروزرسانی‌کننده در دامنه ASUS قرار دارد، حملات برای مدت زیادی ناشناخته باقی‌مانده بود. شرکت ASUS‌ بطور ناخواسته نرم‌افزار ناخواسته را برای هزاران کاربر خود ارسال کرده است. با این حال بنظر می‌رسد که تمرکز اصلی مهاجمین تنها ۶۰۰ کاربر بوده است که آدرس MAC آنها در بدافزار قرار داده شده است.

در صورت نصب نرم‌افزار مخرب در رایانه کاربر، یک درپشتی نصب می‌شود و در ادامه payloadهای اضافی دانلود می‌شوند. پژوهشگران اعلام کرده‌اند که اگر درپشتی در رایانه‌ای که جزو اهداف مهاجمین نبوده است نصب شود، بدافزار فعالیت مخربی انجام نمی‌دهد.

با توجه به شواهد موجود، پژوهشگران اعلام کرده‌اند عوامل مخرب این عملیات با حادثه ShadowPad‌ سال ۲۰۱۷ مرتبط است، که توسط مایکروسافت به عنوان گروه Barium شناسایی شده است. با این حال به طور قطع نمی‌توان این ارتباط را تایید کرد.
اکثریت قربانیان این عملیات در اروپا قرار دارند. کسپرسکی شرکت ASUS را در ماه ژانویه نسبت به این حملات آگاه کرده است. Symantec نیز حملات را تایید کرده است.

پژوهشگران ابزاری را توسعه داده‌اند که کاربران می‌توانند آلوده بودن نرم‌افزار ASUS Live Update را بررسی کنند.
نشانه‌های آلودگی (IoC):

دامنه‌ها و IPها:
asushotfix[.]com
۱۴۱,۱۰۵.۷۱[.]۱۱۶

برخی از آدرس‌هایی که برای توزیع بسته‌های مخرب استفاده شده‌اند:

hxxp://liveupdate۰۱.asus[.]com/pub/ASUS/nb/Apps_for_Win۸/LiveUpdate/Liveupdate_Test_VER۳۶۵.zip
hxxps://liveupdate۰۱s.asus[.]com/pub/ASUS/nb/Apps_for_Win۸/LiveUpdate/Liveupdate_Test_VER۳۶۲.zip
hxxps://liveupdate۰۱s.asus[.]com/pub/ASUS/nb/Apps_for_Win۸/LiveUpdate/Liveupdate_Test_VER۳۶۰.zip
hxxps://liveupdate۰۱s.asus[.]com/pub/ASUS/nb/Apps_for_Win۸/LiveUpdate/Liveupdate_Test_VER۳۵۹.zip
هش‌ها:
aa۱۵eb۲۸۲۹۲۳۲۱b۵۸۶c۲۷d۸۴۰۱۷۰۳۴۹۴
bebb۱۶۱۹۳e۴b۸۰f۴bc۰۵۳e۴fa۸۱۸aa۴e۲۸۳۲۸۸۵۳۹۲۴۶۹cd۵b۸ace۵cec۷e۴ca۱۹

انتهای پیام/

برچسب ها: خواندنی ، بهترین ها
اخبار پیشنهادی
تبادل نظر
آدرس ایمیل خود را با فرمت مناسب وارد نمایید.
آخرین اخبار