Kötü Amaçlı Yazılımlar İçin Kullanılan Nvidia Saldırısında Sıkıştırılan Kod İmzalama Sertifikaları

Şubat 2022'nin sonlarında yonga üreticisine yapılan siber saldırının bir parçası olarak çalınan Nvidia'ya ait sertifikalar, kötü amaçlı yazılımları otomatik savunmaları aşmak amacıyla şu anda kötü amaçlı kod imzalamak için kullanılıyor.

Nvidia sertifikalarıyla imzalanan zararlı paketler, Windows tabanlı sistemleri hedef almak için kullanılıyor. Nvidia, Şubat ayı sonlarında Lapsus$ fidye yazılımı çetesinin hedefi olmuştu ve söz konusu sertifikalar saldırı kapsamında ele geçirilmişti. Lapsus$ saldırısının özet hacmi, çip üreticisinin sunucularından sifonlanan yaklaşık 1 TB veriye ulaştı.

Süresi dolmuş sertifikalar hala işletim sistemi tarafından kabul ediliyor

Lapsus$, çalınan sertifikaların yanı sıra 70 binin üzerinde Nvidia çalışanına ait şemaları, sürücüleri ve e-posta ve şifre hash verilerini de çalmayı başardı.

Güvenlik araştırmacıları, ilk saldırıdan birkaç gün sonra Twitter'a giderek aynı sertifikaların kötü amaçlı yazılım içeren ikili dosyaları imzalamak için kullanıldığını bildirdi. Çalınan sertifikaları kullanan yükler daha sonra Mimikatz, Cobalt Strike ve arka kapı ve uzaktan erişim kötü niyetli araçlarının örnekleri olarak tanımlandı.

Çalınan Nvidia sertifikalarının süresi dolmuş olsa da araştırmacılar, bunların Windows makinelerinde sorunsuz bir şekilde dağıtılacak sürücüler gibi yazılımları imzalamak için hala kullanılabileceğini keşfettiler.

CERT'de bir güvenlik açığı analisti olan Will Dormann ve Kevin Beaumont, kötüye kullanılan Nvidia sertifikalarının seri numaralarını paylaştılar.

43BB437D609866286DD839E1D00309F5

14781bc862e8dc503a559346f5dcc518

Microsoft, azaltma teknikleri sunar

Microsoft'un işletme ve işletim sistemi güvenliği direktörü, Nvidia sürücülerinin sisteme yüklenmesine izin verilenleri sınırlamanın bir yolunu tweetledi, ancak bunu yapmak, Windows Defender uygulama kontrol ilkelerinde ince ayar yapılmasını gerektiriyor; bu, düzenli olarak anlaşılması kolay bir şey değil. ancak yine de özel BT güvenlik personeline sahip işletmelere ve daha büyük ağlara yardımcı olmalıdır.

Nvidia'ya yönelik saldırısının bir parçası olarak, Lapsus$ fidye yazılımı çetesi, yonga üreticisinin tüm sürücülerini açık kaynaklı hale getirmesini talep etti, bu kesinlikle asla gerçekleşmeyecek bir şey. Bilgisayar korsanları, kaynağı kendilerinin serbest bırakmakla tehdit etti, ancak bu, bu noktada hala sadece bir tehdit.