Kodesigneringssertifikater klemt i Nvidia-angrep Brukt for skadelig programvare
Sertifikater tilhørende Nvidia som ble stjålet som en del av nettangrepet mot brikkeprodusenten i slutten av februar 2022, brukes for tiden til å signere ondsinnet kode, i et forsøk på å skyve skadevare forbi automatiserte forsvar.
De ondsinnede pakkene signert med Nvidia-sertifikatene brukes til å målrette mot Windows-baserte systemer. Nvidia ble målrettet av Lapsus$ ransomware-gjengen i slutten av februar, og de aktuelle sertifikatene ble eksfiltrert som en del av angrepet. Oppsummeringsvolumet av Lapsus$-angrepet utgjorde rundt 1 TB med data som ble hentet fra chipmakerens servere.
Utløpte sertifikater fortsatt akseptert av OS
I tillegg til de stjålne sertifikatene, klarte Lapsus$ også å stjele skjemaer, drivere og e-post- og passordhashed-data tilhørende over 70 tusen Nvidia-ansatte.
Sikkerhetsforskere tok til Twitter noen dager etter det første angrepet, og rapporterte at de samme sertifikatene ble brukt til å signere binærfiler som inneholder skadelig programvare. Nyttelastene som brukte de stjålne sertifikatene ble senere identifisert som forekomster av Mimikatz , Cobalt Strike og ondsinnede bakdører og fjerntilgangsverktøy.
Selv om de stjålne Nvidia-sertifikatene er utløpt, oppdaget forskerne at de fortsatt var brukbare for signering av programvare, for eksempel drivere som ville kunne distribueres fint på Windows-maskiner.
Will Dormann, en sårbarhetsanalytiker ved CERT, og Kevin Beaumont delte serienumrene for de misbrukte Nvidia-sertifikatene, som er som følger:
43BB437D609866286DD839E1D00309F5
14781bc862e8dc503a559346f5dcc518
Microsoft tilbyr avbøtende teknikker
Microsofts direktør for bedrifts- og OS-sikkerhet twitret ut en måte å begrense hva Nvidia-drivere har lov til å laste på systemet, men å gjøre dette krever justering av innstillingene i Windows Defender-programkontrollpolicyene, noe som ikke akkurat er en lett ting å finne ut for vanlig. brukere hjemme, men bør fortsatt være til hjelp for bedrifter og større nettverk som har dedikerte IT-sikkerhetsmedarbeidere.
Som en del av angrepet på Nvidia, la Lapsus$ løsepengevaregjengen frem et krav om at chipmakeren gjør alle driverne til åpen kildekode, noe som åpenbart aldri kommer til å skje. Hackerne truet med å frigi kilden selv, men dette er fortsatt bare en trussel på dette tidspunktet.