Новая атака группировки BlackTech
Компания ESET сообщила о новой вредоносной кампании группировки BlackTech, которая распространяет бэкдор Plead, используя скомпрометированные цифровые сертификаты ASUS Cloud Corporation. Эти сертификаты маскируют угрозу под легитимное ПО и помогают обходить защиту.
Схема атаки такова: облачное хранилище ASUS направляет запрос на легитимный сервер для получения бинарного файла с последней версией обновления системы. На этом этапе злоумышленники подставляют собственный URL-адрес, ведущий на вредоносный файл. Загрузка файла происходит с сервера, который имитирует название легитимного сервера ASUS. После загрузки вредоносный файл сохраняется в ОС и запускается при каждом входе пользователя в систему.
ESET не исключает, что подмена сертификатов могла происходить в рамках атаки на цепочку поставок. Другой возможный вариант – атака через посредника (man-in-the-middle): злоумышленники компрометируют роутер, пользуясь уязвимостями облачного хранилища ASUS WebStorage.
Вредоносная активность была зафиксирована на территории Тайваня в конце апреля. Как полагают эксперты ESET, за ней стоит группировка BlackTech, известная кибершпионажем в странах Азии. ESET связалась с ASUS Cloud Corporation и сообщила об угрозе.