Code-ondertekeningscertificaten bekneld in Nvidia-aanval gebruikt voor malware

Certificaten van Nvidia die zijn gestolen als onderdeel van de cyberaanval op de chipmaker eind februari 2022 worden momenteel gebruikt om kwaadaardige code te ondertekenen, in een poging malware voorbij geautomatiseerde verdedigingen te duwen.

De kwaadaardige pakketten die zijn ondertekend met de Nvidia-certificaten worden gebruikt om Windows-gebaseerde systemen aan te vallen. Nvidia was eind februari het doelwit van de Lapsus$-ransomwarebende en de betreffende certificaten werden gestolen als onderdeel van de aanval. Het totale volume van de Lapsus$-aanval bedroeg ongeveer 1 TB aan gegevens die werden overgeheveld van de servers van de chipmaker.

Verlopen certificaten nog steeds geaccepteerd door OS

Naast de gestolen certificaten slaagde Lapsus$ er ook in om schema's, stuurprogramma's en gehashte e-mail- en wachtwoordgegevens van meer dan 70 duizend Nvidia-medewerkers te stelen.

Beveiligingsonderzoekers gingen een paar dagen na de eerste aanval naar Twitter en meldden dat dezelfde certificaten werden gebruikt om binaire bestanden te ondertekenen die malware bevatten. De payloads die de gestolen certificaten gebruikten, werden later geïdentificeerd als exemplaren van Mimikatz, Cobalt Strike en kwaadaardige tools voor achterdeur en externe toegang.

Hoewel de gestolen Nvidia-certificaten verlopen zijn, ontdekten onderzoekers dat ze nog steeds bruikbaar waren voor het ondertekenen van software, zoals stuurprogramma's die prima zouden worden geïmplementeerd op Windows-machines.

Will Dormann, een kwetsbaarheidsanalist bij CERT, en Kevin Beaumont deelden de serienummers van de misbruikte Nvidia-certificaten, die als volgt zijn:

43BB437D609866286DD839E1D00309F5

14781bc862e8dc503a559346f5dcc518

Microsoft biedt mitigatietechnieken

Microsoft's directeur van enterprise en OS-beveiliging tweette een manier om te beperken wat Nvidia-stuurprogramma's op het systeem mogen laden, maar om dit te doen, moeten de instellingen in het Windows Defender-beleid voor applicatiebeheer worden aangepast, wat niet bepaald gemakkelijk is om erachter te komen voor normale gebruikers thuis, maar moet nog steeds een hulp zijn voor bedrijven en grotere netwerken met toegewijd IT-beveiligingspersoneel.

Als onderdeel van zijn aanval op Nvidia, heeft de Lapsus$ ransomware-bende een eis gesteld dat de chipmaker al zijn drivers open-source maakt, iets wat duidelijk nooit zal gebeuren. De hackers dreigden zelf de bron vrij te geven, maar dit is op dit moment nog slechts een dreiging.