Kodesigneringscertifikater klemt i Nvidia-angreb Brugt til malware

Certifikater tilhørende Nvidia, der blev stjålet som en del af cyberangrebet på chipproducenten i slutningen af februar 2022, bliver i øjeblikket brugt til at signere ondsindet kode i et forsøg på at skubbe malware forbi automatiseret forsvar.

De ondsindede pakker, der er signeret med Nvidia-certifikaterne, bliver brugt til at målrette mod Windows-baserede systemer. Nvidia blev angrebet af Lapsus$ ransomware-banden i slutningen af februar, og de pågældende certifikater blev eksfiltreret som en del af angrebet. Den sammenfattende mængde af Lapsus$-angrebet beløb sig til omkring 1 TB data, der blev overført fra chipproducentens servere.

Udløbne certifikater accepteres stadig af OS

Ud over de stjålne certifikater lykkedes det Lapsus$ også at stjæle skemaer, drivere og e-mail- og adgangskode-hash-data tilhørende over 70 tusinde Nvidia-ansatte.

Sikkerhedsforskere tog til Twitter et par dage efter det første angreb og rapporterede, at de samme certifikater blev brugt til at signere binære filer, der indeholder malware. Nyttelasterne, der brugte de stjålne certifikater, blev senere identificeret som forekomster af Mimikatz, Cobalt Strike og ondsindede bagdørs- og fjernadgangsværktøjer.

Selvom de stjålne Nvidia-certifikater er udløbet, opdagede forskerne, at de stadig kunne bruges til signering af software såsom drivere, der ville blive installeret fint på Windows-maskiner.

Will Dormann, en sårbarhedsanalytiker hos CERT, og Kevin Beaumont delte serienumrene for de misbrugte Nvidia-certifikater, som er som følger:

43BB437D609866286DD839E1D00309F5

14781bc862e8dc503a559346f5dcc518

Microsoft tilbyder afbødningsteknikker

Microsofts direktør for virksomheds- og OS-sikkerhed tweetede en måde at begrænse, hvad Nvidia-drivere må indlæse på systemet, men at gøre dette kræver justering af indstillinger i Windows Defender-programstyringspolitikkerne, hvilket ikke ligefrem er en nem ting at finde ud af for almindelige brugere derhjemme, men bør stadig være til hjælp for virksomheder og større netværk, der har dedikerede it-sikkerhedspersonale.

Som en del af deres angreb på Nvidia stillede Lapsus$ ransomware-banden et krav om, at chipproducenten gør alle sine drivere open source, noget som åbenbart aldrig kommer til at ske. Hackerne truede med selv at frigive kilden, men dette er stadig kun en trussel på nuværende tidspunkt.