Breaking News
AMR | Citrix Webinar: The Next New Normal

ASUS Live Update ถูกฝัง Backdoor คาด Supply Chain ถูกโจมตี

Kaspersky ได้ออกมาเตือนถึงปฏิบัติการ Advance Persistent Threat (APT) ที่ถูกตั้งชื่อว่า ‘ShadowHammer’ ซึ่งเกิดกับซอฟต์แวร์ ASUS Live Update ที่พบมี Backdoor อยู่ภายใน โดยคาดว่ากระทบผู้ใช้งานมากกว่า 1 ล้านราย

Credit: ShutterStock.com

Global Research and Analysis Team (GReAT) ของ Kaspersky ได้กล่าวถึงซอฟต์แวร์ ASUS Live Update ในรายงานว่าเป็น Utility ตัวหนึ่งที่มักถูก pre-install มากับคอมพิวเตอร์ของ ASUS เพื่อทำการอัปเดตอัตโนมัติให้ส่วนประกอบต่างๆ เช่น BIOS, UEFI, Driver หรือแอปพลิเคชัน

สำหรับวิธีการคือคนร้ายมีการทำ Hardcode ลิสต์ของ MAC Address ไว้เช็คในการดาวน์โหลดโค้ดอันตรายในขั้นตอนต่อไปจากเซิร์ฟเวอร์ที่ชื่อ ‘asushotfix[.]com’ แต่ถูกปิดไปแล้วตั้งแต่เดือนพฤศจิกายนหรือไม่เช่นนั้นก็จะไม่แสดงกิจกรรมใดๆ ในเครือข่ายออกมา โดยทาง Kaspersky ได้รับลิสต์ของ MAC มาทั้งหมด 600 รายการจากการเก็บตัวอย่างการโจมตีราว 200 ครั้งซึ่งคาดว่ามีผู้ใช้งาน ASUS Live Update Utility มากกว่า 1 ล้านราย ดังนั้นหมายความว่ามีอาจผู้ใช้ติดตั้งซอฟต์แวร์ที่มี Backdoor จำนวนมากแต่มีกลุ่มเป้าหมายที่มัลแวร์กำลังปฏิบัติการอยู่จริง 600 ราย อย่างไรก็ดี Kaspersky ไม่สามารถระบุจำนวนของเหยื่อที่แท้จริงได้ซึ่งรู้เฉพาะส่วนผู้ใช้ที่ติดตั้งผลิตภัณฑ์ของตนราว 57,000 รายมีการติดตั้ง ASUS Live Update

ในประเด็นของ Supply Chain Attack เกิดขึ้นเพราะ Kaspersky ได้พบกับการใช้งาน Certificate ที่ถูกต้องในนามของ ‘ASUSTeK Computer Inc.’ ที่ตั้งอยู่บนเซิร์ฟเวอร์อัปเดตตัวจริงที่ชื่อ liveupdate01s.asus[.]com จึงทำให้เกิดข้อสันนิษฐานว่า Supply Chain ถูกโจมตีนั่นเอง อย่างไรก็ตามทาง Kaspersky ได้ติดต่อแจ้งเหตุกับ ASUS ไปแล้วแต่ทางบริษัทยืนกรานว่าไม่ถูกแฮ็กและหากเข้ามายุ่งเกี่ยวต้องเซ็นสัญญา NDA (Non-disclosure Agreement) จากนั้นก็เงียบหายไป

สำหรับผู้ที่ต้องการตรวจสอบผลกระทบว่ามี MAC Address ของตนในลิสต์ของมัลแวร์หรือไม่ สามารถตรวจสอบออนไลน์จาก Kaspersky ได้ที่นี่

ที่มา :  https://www.bleepingcomputer.com/news/security/asus-live-update-infected-with-backdoor-in-supply-chain-attack/ และ  https://www.theregister.co.uk/2019/03/25/asus_software_update_utility_backdoor/ และ  https://www.darkreading.com/attacks-breaches/attackers-compromise-asus-software-update-servers-to-distribute-malware/d/d-id/1334244



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

CU Webinar: ขานรับการเติบโตของข้อมูล และการจัดการ Storage แบบง่ายๆ ด้วย IBM FlashSystem

TechTalkThai ขอเรียนเชิญ IT Manager, Data Center Engineer, ผู้ดูแลระบบ IT, และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "ขานรับการเติบโตของข้อมูล และการจัดการ Storage แบบง่ายๆ ด้วย IBM FlashSystem" เพื่ออัปเดตเทคโนโลยีล่าสุดของ Flash Storage และเครื่องมือที่น่าสนใจสำหรับนำไปใช้เพื่อรองรับงานทางด้าน AI, Analytics, SAP HANA และ Red Hat OpenShift ในวันอังคารที่ 16 มิถุนายน 2020 เวลา 10.30 – 12.00 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

Aruba ขอเชิญร่วมสัมมนาออนไลน์ฟรี ATM Digital 18 มิ.ย. 2020 พร้อมเนื้อหาภาษาไทยทุกหัวข้อ

Aruba ขอเชิญ CIO, CTO, IT Manager, Network Engineer, ผู้ดูแลระบบ IT และผู้ที่สนใจทุกท่าน เข้าร่วมงานสัมมนาออนไลน์ฟรี ATM Digital งานสัมมนาใหญ่ประจำปีที่จะอัปเดตทุกเทคโนโลยีของ Aruba พร้อมแขกรับเชิญจาก WIRED และ SpaceX โดยเนื้อหาทั้งหมดจะมี Subtitle ภาษาไทย ในวันที่ 18 มิถุนายน 2020 เวลา 9.00น. - 13.00น. โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานฟรีดังนี้