据外媒报道，卡巴斯基实验室于2019年1月检测到新的APT攻击事件，预计攻击在2018年6月至11月期间进行，据称已影响到100多万下载了ASUS Live Update Utility的用户。

卡巴斯基实验室的全球研究与分析（GReAT）团队将这一攻击命名为ShadowHammer，它导致了逾5.7万卡巴斯基用户下载并安装了带后门的ASUS Live Update。

GReAT在报告中表示，ASUS Live Update是一款预装在大多数华硕电脑上的实用工具，用于自动更新如BIOS、UEFI、驱动程序和应用程序。根据Gartner的数据，到2017年，华硕是全球第五大个人电脑销售商，这使得它成为了APT组织的目标。

ShadowHammer受害者分布图

受感染的ASUS Live Update二进制文件有多个版本，每个版本都针对未知的用户池，这些用户由网络适配器的MAC地址识别。

ShadowHammer背后的攻击者使用硬编码的MAC地址列表来检测后门是否安装在命中列表中MAC地址的机器上，卡巴斯基从这次攻击中使用的200多个样本中收集了600个MAC地址。

如果MAC地址匹配，恶意软件就会下载下一阶段的恶意代码。研究人员发现，渗透进来的更新程序并没有显示出任何网络活动。

第二阶段的后门从位于asushotfix[.]com的命令和控制服务器下载。该服务器在去年11月就已被关闭，因此无法获得恶意软件样本。

卡巴斯基的研究人员还发现，受感染的ASUS Live Update安装程序使用合法的“ASUSTeK Computer Inc.”的数字签名，这些证书“托管在liveupdate01s.asus[.]com和liveupdate01.asus[.]com华硕更新服务器上。”

带后门的ASUS Live Update安装程序签名证书

卡巴斯基表示，ShadowHammer中使用的方法与针对CCleaner和2017年NetSarang的ShadowPad供应链攻击中使用的方法相似。

GReAT表示，卡巴斯基已于1月31日联系华硕，向他们通报了针对Asus Live Update工具的供应链攻击，同时也提供了攻击中使用的恶意软件以及IOC的详细信息。尽管华硕已被告知此次攻击，但它没有与卡巴斯基保持积极的沟通，也没有向华硕用户发出警告。

此外，卡巴斯基为想要确认电脑是否受到ShadowHammer影响的用户提供了离线实用程序和在线web检查器。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com