Сертификаты подписи кода, захваченные в ходе атаки Nvidia, используются для вредоносных программ

Сертификаты, принадлежащие Nvidia, которые были украдены в ходе кибератаки на производителя чипов в конце февраля 2022 года, в настоящее время используются для подписи вредоносного кода в попытке протолкнуть вредоносное ПО через автоматизированную защиту.

Вредоносные пакеты, подписанные с помощью сертификатов Nvidia, используются для атак на системы на базе Windows. В конце февраля Nvidia стала мишенью банды программ-вымогателей Lapsus$, и соответствующие сертификаты были похищены в ходе атаки. Суммарный объем атаки Lapsus$ составил около 1 ТБ данных, перекаченных с серверов производителя чипов.

Просроченные сертификаты все еще принимаются ОС

Помимо украденных сертификатов, Lapsus$ также удалось украсть схемы, драйверы и хешированные данные электронной почты и паролей, принадлежащие более чем 70 тысячам сотрудников Nvidia.

Исследователи безопасности обратились в Twitter через несколько дней после первоначальной атаки, сообщив, что одни и те же сертификаты использовались для подписи двоичных файлов, содержащих вредоносное ПО. Полезные нагрузки, использующие украденные сертификаты, позже были идентифицированы как экземпляры Mimikatz , Cobalt Strike , а также вредоносных инструментов с бэкдором и удаленным доступом.

Несмотря на то, что срок действия украденных сертификатов Nvidia истек, исследователи обнаружили, что их все еще можно использовать для подписи программного обеспечения, такого как драйверы, которые будут нормально развертываться на компьютерах с Windows.

Уилл Дорманн, аналитик уязвимостей в CERT, и Кевин Бомонт поделились серийными номерами неправильно используемых сертификатов Nvidia, а именно:

43BB437D609866286DD839E1D00309F5

14781bc862e8dc503a559346f5dcc518

Microsoft предлагает методы смягчения последствий

Директор Microsoft по корпоративной безопасности и безопасности ОС написал в Твиттере способ ограничить то, что драйверам Nvidia разрешено загружать в систему, но для этого требуется настроить параметры в политиках управления приложениями Защитника Windows, что не совсем просто выяснить для обычных пользователей. пользователей дома, но все равно должны быть полезны для предприятий и крупных сетей, у которых есть специальный персонал по ИТ-безопасности.

В рамках своей атаки на Nvidia группа вымогателей Lapsus$ выдвинула требование, чтобы производитель чипов сделал все свои драйверы открытыми, чего, очевидно, никогда не произойдет. Хакеры пригрозили сами раскрыть исходный код, но на данный момент это пока только угроза.