[ad_1]
为什么重要: 当攻击者从技嘉或 Nvidia 等大公司泄露大量数据时,其影响可能会在很长一段时间内以意想不到的方式出现。 一个勒索软件团伙最近发现的行为证明了一个团体的网络攻击如何为其他团体打开大门。
微软和美国当局最近发布了关于勒索软件团伙使用合法的微软证书签署其恶意软件的通知。 该技巧授予恶意软件对 Windows 的特权访问权限,使其更难对付。
加密签名告诉 Windows,Microsoft 信任某个软件,让它可以相对不受阻碍地与系统进行交互。 建立欺诈性签名或以欺诈方式获得真实签名长期以来一直是一种常见的黑客策略。
一个名为 Cuba 的勒索软件团伙——与古巴共和国没有任何联系——使用了一个植入程序,该植入程序编写了一个内核驱动程序,可以禁用防病毒程序等安全软件。 内核驱动程序使用源自今年早些时候 Lapsus$ 组织对 Nvidia 的攻击的证书进行签名。
Lapsus$ 在 2 月份使用勒索软件攻击 Nvidia。 虽然勒索软件并未对 Nvidia 的运营产生重大影响,但黑客泄露了该公司的大部分数据,包括源代码和显然是微软的软件证书。 英国警方后来逮捕了两名与 Lapsus$ 有关的伦敦青少年。
今年 10 月,三家安全公司通知微软,一名恶意行为者入侵了多个微软合作伙伴中心开发者账户,利用这些账户为微软证书提交恶意驱动程序。 该公司的分析表明,这些驱动程序被用来传播恶意软件。
Microsoft 随后暂停了这些帐户,更新了 Windows Security 以吊销证书,并对 Microsoft Defender 1.377.987.0 及更高版本采用了新的检测。 Windows 用户应该使防病毒软件保持最新状态,以对抗这一威胁以及其他威胁,例如本周补丁星期二解决的漏洞。
与此同时,本月早些时候,联邦调查局和美国网络安全与基础设施安全局 (CISA) 发布了一份关于古巴行动的咨询报告。 去年,该组织成功攻击的次数翻了一番,赎金收入也有所增加。 调查表明,除了自己的勒索软件外,古巴还使用 Industrial Spy 和 RomCom Remote Access Trojan (RAT)。
这不是最近攻击者使用受损证书签署恶意软件的唯一案例。 11 月出现了涉及 Android 平台证书的类似事件。 与微软一样,谷歌也及时将这些证书作废。
[ad_2]
Source link
