Bir dizi potansiyel olarak tehlikeli kötü amaçlı yazılım türü, Nvidia’dan çalınan yüksek korsan imza sertifikaları sayesinde virüsten koruma yazılımlarını başarıyla geçti.
Lapsus$ siber suç çetesi kısa süre önce çip devinden bir terabayt veri çaldığını duyurdu ve şirketle bir anlaşmaya varamadıktan sonra fidye ödeme, çalınan istihbaratı canlı yayınlamaya karar verdi.
Araştırmacılar hassas bilgilerin hazinesini araştırmaya başladıkça, Nvidia geliştiricilerinin sürücülerini ve yürütülebilir dosyalarını imzalamak için kullandıkları iki kod imzalama sertifikası keşfettiler. Bu güvenlik önlemleri, Windows uç noktalarının belirli bir uygulamayı veya programı kimin oluşturduğunu doğrulamasının yanı sıra hiçbir şeyin değiştirilmediğini doğrulamasına yardımcı olur.
Kötü amaçlı yazılım yasal yazılım olarak geçiyor
Çalınan sertifikaları veritabanlarıyla karşılaştıran araştırmacılar, bunları imzalamak için kullanıldıklarını çabucak buldular. kötü amaçlı yazılım ve diğer kötü amaçlı araçlar.
VirusTotal kötü amaçlı yazılım tarama hizmetinde bildirildiği gibi, sertifikalar Cobalt Strike işaretçilerini, Mimikatz’ı ve ayrıca çeşitli arka kapıları, uzaktan erişim truva atlarını ve diğer kötü amaçlı yazılımları imzalamak için kullanıldı.
Güvenlik araştırmacıları Kevin Beaumont ve Will Dormann’a göre çalınan sertifikalar şu seri numaraları altında bulunabilir:
43BB437D609866286DD839E1D00309F5
14781bc862e8dc503a559346f5dcc518
Her iki sertifikanın da süresinin dolduğu bildirildi, ancak bu, Windows’un bunlarla imzalanmış bir sürücünün işletim sistemine yüklenmesine izin vermesini engellemez.
Güvenliği ihlal edilmiş Nvidia sürücülerini ortadan kaldırmak için Windows Defender Uygulama Denetimi ilkelerini yapılandırmanın yolları vardır, ancak BleepingComputer’ın dediği gibi, sertifikaların Microsoft’un sertifikasına eklenmesini beklemesi gereken “özellikle BT dışı Windows kullanıcıları için kolay bir iş değil” iptal listesi.
Lapsus$ oldukça hızlı bir şekilde isim yapıyor. Geçen yılın sonlarında Portekiz’in en büyük medya holdingi Impresa’yı hedef alarak birden fazla web sitesini, TV kanalını, AWS altyapısını ve Twitter hesabını kapatarak, Brezilya Sağlık Bakanlığı’nın (SB) web sitelerini de vurdu ve tüm dünyada Kovid-19 aşı çalışmalarını askıya aldı. ülke. Sağlık Bakanlığı sunucularından silmeden önce 50 TB değerinde veri çaldığını iddia etti.
Nvidia saldırısında grup, on binlerce Nvidia çalışanının oturum açma bilgilerini ve diğer hassas verileri aldığını iddia ediyor. Ayrıca verilerin, yalnızca %50 kapasiteyle Ether madenciliği yapmak için kullanılabilen RTX 3000 GPU için hash hızı sınırlayıcısını ortadan kaldıracak bir araç oluşturmasına yardımcı olduğunu söylüyor.
Ayrıca, Samsung’dan çalınan 190 GB’lık hassas veriyi de yayınladı; bu, gerçek olduğu kanıtlanırsa, bu yıl meydana gelebilecek en zararlı veri sızıntılarından biri olabilir.
Üzerinden: BleeBilgisayar
