Прищипани сертификати за подписване на код при атака на Nvidia, използвани за злонамерен софтуер

Сертификатите, принадлежащи на Nvidia, които бяха откраднати като част от кибератаката срещу производителя на чипове в края на февруари 2022 г., в момента се използват за подписване на злонамерен код в опит да се прокара злонамерен софтуер покрай автоматизираните защити.

Злонамерените пакети, подписани със сертификатите на Nvidia, се използват за насочване към Windows-базирани системи. Nvidia беше мишена от бандата за откуп на Lapsus$ в края на февруари и въпросните сертификати бяха ексфилтрирани като част от атаката. Обобщият обем на атаката на Lapsus$ възлизаше на около 1TB данни, които се извличат от сървърите на производителя на чипове.

Сертификатите с изтекъл срок все още се приемат от ОС

В допълнение към откраднатите сертификати, Lapsus$ също успя да открадне схеми, драйвери и хеширани данни за имейл и парола, принадлежащи на над 70 хиляди служители на Nvidia.

Изследователите по сигурността се обърнаха към Twitter няколко дни след първоначалната атака, като съобщиха, че същите сертификати се използват за подписване на двоични файлове, които съдържат зловреден софтуер. Полезните товари, използващи откраднатите сертификати, по-късно бяха идентифицирани като екземпляри на Mimikatz , Cobalt Strike и злонамерени инструменти за бекдор и отдалечен достъп.

Въпреки че откраднатите сертификати на Nvidia са изтекли, изследователите откриха, че те все още могат да се използват за подписване на софтуер, като драйвери, които биха се разположили добре на машини с Windows.

Уил Дорман, анализатор на уязвимостите в CERT, и Кевин Бомонт споделиха серийните номера на злоупотребените сертификати на Nvidia, които са както следва:

43BB437D609866286DD839E1D00309F5

14781bc862e8dc503a559346f5dcc518

Microsoft предлага техники за смекчаване

Директорът на Microsoft по сигурността на предприятията и операционната система туитира начин за ограничаване на това какви драйвери на Nvidia могат да зареждат в системата, но това изисква промяна на настройките в политиките за контрол на приложенията на Windows Defender, което не е лесно да се разбере за обикновените потребители у дома, но все пак трябва да бъде от помощ на бизнеса и по-големите мрежи, които имат специален персонал за ИТ сигурност.

Като част от атаката си срещу Nvidia, бандата Lapsus$ ransomware отправи искане производителят на чипове да направи всички свои драйвери с отворен код, нещо, което очевидно никога няма да се случи. Хакерите заплашиха да освободят източника сами, но това все още е само заплаха към този момент.