Black Hat Asia 2023
Black Hat Asia 2023

ASUS Live Update ถูกฝัง Backdoor คาด Supply Chain ถูกโจมตี

March 26, 2019 Advanced Threat Protection, Application Security, Kaspersky Lab, Products, Security, Threats Update

Kaspersky ได้ออกมาเตือนถึงปฏิบัติการ Advance Persistent Threat (APT) ที่ถูกตั้งชื่อว่า ‘ShadowHammer’ ซึ่งเกิดกับซอฟต์แวร์ ASUS Live Update ที่พบมี Backdoor อยู่ภายใน โดยคาดว่ากระทบผู้ใช้งานมากกว่า 1 ล้านราย

Credit: ShutterStock.com

Global Research and Analysis Team (GReAT) ของ Kaspersky ได้กล่าวถึงซอฟต์แวร์ ASUS Live Update ในรายงานว่าเป็น Utility ตัวหนึ่งที่มักถูก pre-install มากับคอมพิวเตอร์ของ ASUS เพื่อทำการอัปเดตอัตโนมัติให้ส่วนประกอบต่างๆ เช่น BIOS, UEFI, Driver หรือแอปพลิเคชัน

สำหรับวิธีการคือคนร้ายมีการทำ Hardcode ลิสต์ของ MAC Address ไว้เช็คในการดาวน์โหลดโค้ดอันตรายในขั้นตอนต่อไปจากเซิร์ฟเวอร์ที่ชื่อ ‘asushotfix[.]com’ แต่ถูกปิดไปแล้วตั้งแต่เดือนพฤศจิกายนหรือไม่เช่นนั้นก็จะไม่แสดงกิจกรรมใดๆ ในเครือข่ายออกมา โดยทาง Kaspersky ได้รับลิสต์ของ MAC มาทั้งหมด 600 รายการจากการเก็บตัวอย่างการโจมตีราว 200 ครั้งซึ่งคาดว่ามีผู้ใช้งาน ASUS Live Update Utility มากกว่า 1 ล้านราย ดังนั้นหมายความว่ามีอาจผู้ใช้ติดตั้งซอฟต์แวร์ที่มี Backdoor จำนวนมากแต่มีกลุ่มเป้าหมายที่มัลแวร์กำลังปฏิบัติการอยู่จริง 600 ราย อย่างไรก็ดี Kaspersky ไม่สามารถระบุจำนวนของเหยื่อที่แท้จริงได้ซึ่งรู้เฉพาะส่วนผู้ใช้ที่ติดตั้งผลิตภัณฑ์ของตนราว 57,000 รายมีการติดตั้ง ASUS Live Update

ในประเด็นของ Supply Chain Attack เกิดขึ้นเพราะ Kaspersky ได้พบกับการใช้งาน Certificate ที่ถูกต้องในนามของ ‘ASUSTeK Computer Inc.’ ที่ตั้งอยู่บนเซิร์ฟเวอร์อัปเดตตัวจริงที่ชื่อ liveupdate01s.asus[.]com จึงทำให้เกิดข้อสันนิษฐานว่า Supply Chain ถูกโจมตีนั่นเอง อย่างไรก็ตามทาง Kaspersky ได้ติดต่อแจ้งเหตุกับ ASUS ไปแล้วแต่ทางบริษัทยืนกรานว่าไม่ถูกแฮ็กและหากเข้ามายุ่งเกี่ยวต้องเซ็นสัญญา NDA (Non-disclosure Agreement) จากนั้นก็เงียบหายไป

สำหรับผู้ที่ต้องการตรวจสอบผลกระทบว่ามี MAC Address ของตนในลิสต์ของมัลแวร์หรือไม่ สามารถตรวจสอบออนไลน์จาก Kaspersky ได้ที่นี่

ที่มา :  https://www.bleepingcomputer.com/news/security/asus-live-update-infected-with-backdoor-in-supply-chain-attack/ และ  https://www.theregister.co.uk/2019/03/25/asus_software_update_utility_backdoor/ และ  https://www.darkreading.com/attacks-breaches/attackers-compromise-asus-software-update-servers-to-distribute-malware/d/d-id/1334244

Tags


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เดลล์ เทคโนโลยีส์ และ อินเทล ขอเชิญท่านเข้าร่วมสัมมนาออนไลน์ ” Modernize IT, Lower Risk and Simplified Hyperconverged for Modern and Traditional Workload” [5 เมษายน 2566 — 13.30น.]

เดลล์ เทคโนโลยีส์ และ อินเทล ขอเชิญท่านเข้าร่วมสัมมนาออนไลน์ ” Modernize IT, Lower Risk and Simplified Hyperconverged for Modern and …

[Video Webinar] Securing Container and Cloud Workload in 2023

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย F5 Webinar เรื่อง “Securing Container and Cloud Workload in 2023” เพื่อเรียนรู้การปกป้อง Container และ Cloud …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand