Облачный сервис ASUS используется для кибератак

Производитель антивирусов Eset сообщил об атаке хакерской группировки Blacktech. Злоумышленники распространяют бэкдор Plead, используя скомпрометированные цифровые сертификаты ASUS Cloud Corporation, которые маскируют угрозу под легитимное ПО и помогают обходить защиту.

Схема атаки выглядит таким образом: облачное хранилище ASUS направляет запрос на легитимный сервер для получения бинарного файла с последней версией обновления системы. На этом этапе хакеры подставляют собственный адрес, ведущий к вредоносному файлу.

Загрузка файла происходит с сервера, который имитирует название легитимного сервера ASUS. После загрузки вредоносный файл сохраняется в операционной системы и запускается при каждом входе пользователя в систему.

По мнению экспертов Eset, подмена сертификатов могла происходить в рамках атаки на цепочку поставок. Другим вариантом представляется атака через посредника (man-in-the-middle) - злоумышленники компрометируют роутер, пользуясь уязвимостями сервиса для хранения данных ASUS Webstorage.

Вредоносная активность зафиксирована на территории Тайваня в конце апреля 2019 года. Специалисты Eset считают, инициатором этой кампании стала группировка Blacktech, которая известна кибершпионажем в странах Азии.



По материалам ZDNet

Источник: DailyComm