Kód-aláíró tanúsítványok az Nvidia-támadás során, rosszindulatú programokhoz használtak

Az Nvidiához tartozó tanúsítványokat, amelyeket a chipgyártó elleni kibertámadás részeként loptak el 2022. február végén, jelenleg rosszindulatú kódok aláírására használják, hogy megpróbálják kiszorítani a kártevőket az automatizált védelem mellett.

Az Nvidia tanúsítvánnyal aláírt rosszindulatú csomagokat a Windows alapú rendszerek megcélzására használják. Február végén az Nvidia célpontja volt a Lapsus$ ransomware banda , és a kérdéses tanúsítványokat a támadás részeként kiszivárogtatták. A Lapsus$ támadás összesített mennyisége körülbelül 1 TB adatot szippantott ki a chipgyártó szervereiről.

A lejárt tanúsítványokat az operációs rendszer továbbra is elfogadja

Az ellopott tanúsítványok mellett a Lapsus$-nak sikerült ellopnia több mint 70 ezer Nvidia-alkalmazott kapcsolási rajzait, illesztőprogramjait, valamint email- és jelszókivonat-adatait is.

A biztonsági kutatók néhány nappal a kezdeti támadás után a Twitteren jelentették be, hogy ugyanazokat a tanúsítványokat használják rosszindulatú programokat tartalmazó bináris fájlok aláírására. Az ellopott tanúsítványokat használó rakományokat később a Mimikatz , a Cobalt Strike , valamint a hátsó ajtó és a távoli hozzáférésű rosszindulatú eszközök példányaiként azonosították.

Noha az ellopott Nvidia-tanúsítványok lejártak, a kutatók felfedezték, hogy továbbra is használhatók szoftverek aláírására, például illesztőprogramok aláírására, amelyek jól működnek a Windows rendszerű gépeken.

Will Dormann, a CERT sebezhetőségi elemzője és Kevin Beaumont megosztotta a visszaélt Nvidia-tanúsítványok sorozatszámait, amelyek a következők:

43BB437D609866286DD839E1D00309F5

14781bc862e8dc503a559346f5dcc518

A Microsoft enyhítő technikákat kínál

A Microsoft vállalati és operációs rendszer-biztonsági igazgatója a Twitteren közzétett egy módot annak korlátozására, hogy az Nvidia illesztőprogramjai milyen mennyiséget tölthetnek be a rendszerbe, de ehhez módosítani kell a Windows Defender alkalmazásvezérlő házirendjeit, amit nem éppen könnyű kitalálni. otthoni felhasználók számára, de továbbra is segítséget kell nyújtania azoknak a vállalkozásoknak és nagyobb hálózatoknak, amelyeknek elkötelezett IT-biztonsági személyzetük van.

Az Nvidia elleni támadás részeként a Lapsus$ ransomware banda azt követelte, hogy a chipgyártó tegye az összes illesztőprogramját nyílt forráskódúvá, ami nyilvánvalóan soha nem fog megtörténni. A hackerek azzal fenyegetőztek, hogy maguk kiadják a forrást, de ez még mindig csak fenyegetés.