เซิร์ฟเวอร์ ASUS Software Updates ถูกแฮก ใช้แพร่กระจายมัลแวร์กระทบผู้ใช้งานกว่าครึ่งล้านราย
กลุ่มนักวิจัยด้านความปลอดภัยจาก Kaspersky Lab ได้มีการเปิดเผยแคมเปญการโจมตีใหม่ภายใต้ชื่อ Operation ShadowHammer หลังจากตรวจพบการแพร่กระจายของมัลแวร์ผ่านทางบริการ ASUS Software Updates ซึ่งถูกใช้โดยอุปกรณ์จาก ASUS เพื่อรับอัปเดตของโปรแกรมใหม่ โดยจากการประเมินเบื้องต้นนั้นคาดว่ามีผู้ดาวโหลดมัลแวร์ไปแล้วกว่า 500,000 ราย
การโจมตีแบบ Supply-chain attack นี้ถูกเปิดเผยขึ้นเมื่อเดือนมกราคมที่ผ่านมาที่งานสัมมนา SAS 2019 อย่างไรก็ตามการโจมตีถูกประเมินว่าเกิดขึ้นในช่วงเดือนมิถุนายนถึงเดือนพฤศจิกายน 2018
Kaspersky Lab ระบุว่าแคมเปญการโจมตีใน Operation ShadowHammer นั้นมีความซับซ้อนสูงและเชื่อกันว่าผู้อยู่เบื้องหลังการโจมตีอาจเป็นกลุ่มผู้โจมตีที่มีศักยภาพสูงระดับ APT เนื่องจากมัลแวร์ที่ถูกแพร่กระจายผ่านทางช่องทางของ ASUS Software Updates ถูกรับรองด้วยใบอนุญาตที่ถูกต้องของ ASUS ซึ่งหมายความว่าผู้โจมตีสามารถเข้าถึงกระบวนการรับรองโปรแกรมของ ASUS ด้วย
มัลแวร์ที่ถูกแพร่กระจายนั้นมีลักษณะการทำงานแบบโทรจันโดยจะมีการตรวจสอบ MAC address ของระบบที่มีการติดเชื้อเปรียบเทียบกับรายการ MAC address ที่ฝังมากับโปรแกรมของมัลแวร์ซึ่งคาดว่าเป็นเป้าหมายที่แท้จริงของแคมเปญการโจมตี หาก MAC address ของระบบที่ติดเชื้อนั้นอยู่ในรายการดังกล่าว มัลแวร์จะทำการติดต่อไปยังเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม (C&C) เพื่อดาวโหลดมัลแวร์อื่นมาติดตั้ง
Kaspersky Lab ยังเผยแพร่เครื่องมือสำหรับตรวจสอบว่าระบบที่ใช้งานอยู่นั้นมีโอกาสที่จะต้องเป็นเป้าหมายหรือไม่ด้วยการตรวจสอบจาก MAC address โดยในขณะนี้ทาง ASUS ได้ทำการตรวจสอบและเข้าขัดขวางแคมเปญการโจมตีดังกล่าวแล้ว
ที่มา : motherboard
You must be logged in to post a comment.