安全廠商ESET發現,攻擊者透過家用路由器以及中間人攻擊(man-in-the middle,MitM)手法,對華碩網路硬碟服務WebStorage軟體感染惡意程式。

ESET安全研究人員Anton Cherepanov在今年4月,發現這波以Plead後門程式為感染源的攻擊行動。這並不是Plead第一次被發現對臺灣公司下手。去年7月Cherepanov也發現駭客組織BlackTech竊取友訊(D-Link)及全景軟體的數位憑證以簽發散布Plead。

Plead為趨勢科技於2014年首先揭露,專門針對臺灣政府部門及中高階主管下手,主要目的在竊取機密資訊。BlackTech也會利用漏洞的路由器為跳板來散發Plead。雖然Plead主要以亞洲為間諜活動範圍,但以臺灣為最活躍地區。

根據ESET研究人員的分析,華碩的WebStorage服務攻擊牽涉其客戶端軟體(也名為ASUS WebStorage)。研究人員發現,Plead是由AsusWSpanel.exe產生並執行,而原理可能如同友訊案例一樣,是華碩雲端(ASUS Cloud Corporation)的憑證遭竊,而簽發了冒名為Asus Webstorage Upate.exe的Plead可執行檔。

研究人員在過去研究中發現,大多數受影響的企業或部門都是使用同一家公司的路由器,且其管理介面都可由網際網路存取,因此判斷駭客在這次事件也可能經由路由器層,利用華碩的路由器將PLEAD散布到同網路的電腦上。

至於這個過程為何會啟動,關鍵即在中間人攻擊。ASUS WebStorage客戶端軟體和伺服器間的下載更新檔過程,是經由HTTP建立呼叫連線及傳送檔案,這個軟體在執行前不會驗證下載檔案的真實性。因此只要連線被攻擊者攔截,就能引導它下載惡意檔案。

研究人員發現,攻擊者修改了連線的二個指令元素,引導ASUS WebStorage連向臺灣政府一個被入侵的gov.tw網域,下載惡意檔案,而非華碩伺服器提供的真實更新檔。

ASUS WebStorage在用戶端部署Plead後,這個後門程式就扮演第一階段的下載程式(downloader)。之後從外部伺服器多階段下載檔案,包括一個Windows PE binary檔及DLL檔,後者目的在和C&C伺服器建立連線,執行竊密及安裝TSCookie程式的任務。

對華碩來說可謂禍不單行。三月底華碩更新服務傳出遭名為ShadowHammer 行動的供應鏈攻擊,其更新伺服器被惡意程式入侵用來散佈後門程式,時間可能長達5個月,受害電腦數量恐高達百萬。

ESET研究人員指出,近來的供應鏈和中間人攻擊顯示駭客手法更轉趨狡猾,而且能造成更大規模的受害範圍。這也說明了軟體廠商不但要防範其開發環境被入侵,還要使用更安全的產品更新機制,以防止中間人攻擊。


Advertisement

更多 iThome相關內容