Savunmasız yazılımlar potansiyel olarak gözetimi ve veri hırsızlığını kolaylaştırıyor.
Araştırmacılar, ASUS WebStorage sisteminin Ortadaki Adam (MiTM) saldırılarını gerçekleştirmek için aktif olarak kötüye kullanıldığını söylüyor.
ESET araştırmacısı Anton Cherepanov bir rapor yayınladı Salı günü ASUS'un bulut depolama hizmeti olan WebStorage ile ilgili saldırı vektörlerini ayrıntılarıyla anlatacağız.
Güvenlik
- Yüksek güvenlikli uzaktan çalışanların 8 alışkanlığı
- Telefonunuzdaki casus yazılımları bulma ve kaldırma
- En iyi VPN hizmetleri: İlk 5'in karşılaştırması nasıl?
- Bir veri ihlaline karışıp karışmadığınızı nasıl anlarsınız ve bundan sonra ne yapmalısınız?
Ekibe göre Plead kötü amaçlı yazılımı, ASUS yazılımına karşı gerçekleştirilen MiTM saldırıları yoluyla yayılıyor olabilir.
Plead, Plead arka kapısı ve Drigo sızma aracının birleşimi yoluyla veri hırsızlığı konusunda uzmanlaşmış bir kötü amaçlı yazılım çeşididir.
Plead'in aşağıdaki gibi kamuya açık istismarlar yoluyla yayıldığı bilinmektedir:
CVE-2015-5119, CVE-2012-0158, Ve CVE-2014-6352ancak Temmuz 2018'de ESET araştırmacıları Ayrıca bulundu Kötü amaçlı yazılımın D-Link'ten çalınan bir kod imzalama sertifikası aracılığıyla dağıtıldığı belirtildi.Kötü amaçlı yazılım BlackTech'e bağlıAsya'da faaliyet gösterdiğine inanılan ve Tayvan, Japonya ve Hong Kong'daki hedeflere yönelik saldırılarla bağlantılı olduğu düşünülen bir siber casusluk grubu.
ESET, Plead ve ASUS yazılımıyla ilgili yeni etkinliklerin takip edildiğini söylüyor. Tayvan'da keşfedilen Plead kötü amaçlı yazılımı artık Windows'ta ASUS WebStorage'ı çalıştırmak için kullanılan meşru AsusWSPanel.exe işlemi tarafından oluşturulup yürütülüyor.
Ayrıca bakınız: Ele geçirilen ASUS Live Update yazılımı dünya çapında sayısız bilgisayara arka kapı kuruyor
ESET tarafından gözlemlenen tüm örnekler ASUS Webstorage Upate.exe dosya adını kullanır.
Ekip, Plead dağıtılırken indiricinin, resmi ASUS WebStorage sunucusunu taklit eden bir sunucudan fav.ico dosyasını çekebildiğini söylüyor. Bu kötü amaçlı dosyanın şifresi daha sonra Plead tarafından çözülür ve bellekte yürütülmek üzere ek kabuk kodunun şifresini çözebilecek başka bir yürütülebilir dosya bırakılır.
Kabuk kodu, modülleri yürütmek üzere bir komut ve kontrol (C2) sunucusundan çeken bir .DLL dosyası yükler. Bilinen TSCookie olarak Ayrıca BlackTech'e bağlı olan kötü amaçlı yazılım, işletim sistemi bilgileri ve kullanıcı kimlik bilgileri de dahil olmak üzere verileri çalabiliyor.
CNET: WhatsApp kusuru, saldırganların bir telefon görüşmesiyle casus yazılım yüklemesine izin veriyor
Bir senaryoda, MiTM saldırıları, tespit edilmesi zor olan ve veri kaybına veya tarayıcı oturumunun kurcalanmasına ve yeniden yönlendirilmesine neden olabilecek bir saldırı vektörü olan yönlendirici düzeyinde gerçekleştirilebilir.
ASUS WebStorage HTTP aracılığıyla güncellendiğinden, bu istekler yürütülmeden önce orijinallik açısından doğrulanmaz. Bu da güncelleme işlemlerinin saldırganlar tarafından ele geçirilebileceğini ve kötüye kullanıma açık olduğunu gösteriyor.
Ekip, "Dolayısıyla saldırganlar bu [öğeleri] kendi verilerini kullanarak değiştirerek güncellemeyi tetikleyebilir" diyor. "Bu aslında vahşi doğada gözlemlediğimiz senaryonun aynısı."
ESET ayrıca ASUS bulut hizmeti kullanıcılarının tedarik zinciri tabanlı saldırılara açık olabileceğini öne sürüyor. HTTP ASUS güncelleme mekanizması sayesinde bağımsız kötü amaçlı yazılım türlerini kurbanın üzerine çekmeyi mümkün kıldı cihaz.
TechRepublic: Siber güvenlik tükenmişliği: İşin en stresli 10 kısmı
Ancak ASUS WebStorage sunucularının kötü amaçlı C&C sunucuları olarak kullanıldığına veya kendilerinin kötü amaçlı ikili dosyalar sunduğuna dair hiçbir kanıt yoktur.
Güvenlik araştırmacıları firmanın bulgularını satıcıya bildirdi. ESET, Tehlike Göstergelerini (IoC) kullanıma sunmuştur. Burada.
Bu hafta ilgili haberlerde, 25.000 Linksys Akıllı Wi-Fi yönlendiricisi MAC adresleri, cihaz adları ve yapılandırma ayarları dahil olmak üzere hassas bilgilerin sızdırıldığı tespit edildi. Sorun, ilk kez 2014'te açıklanan bir kusurdan kaynaklanıyor ve etkilenen tüm yönlendiricilere yama yapılmamış gibi görünüyor.
ZDNet ek sorularla ASUS'a ulaştı ve geri bildirim alırsak güncellenecektir.
Bunlar 2018'in en kötü hack'leri, siber saldırıları ve veri ihlalleri
Önceki ve ilgili kapsam
-
Araştırmacılar ASUS hacklemesinde hedeflenen MAC adreslerinin listesini yayınladı
-
ASUS, ShadowHammer saldırısında kötüye kullanılan Canlı Güncelleme aracı için düzeltme yayınladı
-
25.00'den fazla akıllı Linksys yönlendiricisi hassas verileri sızdırıyor
Bir ipucunuz var mı? WhatsApp aracılığıyla güvenli bir şekilde iletişime geçin | +447713 025 499 veya Keybase üzerinden sinyal: charlie0