警告：华硕软件更新服务器被黑客攻击以传播恶意软件

CCleaner hack是最大的供应链攻击之一，2017年9月，该软件的后门版本感染了230多万用户。

安全研究人员今天透露，台湾科技巨头华硕制造的逾100万台电脑再次遭到大规模供应链攻击。

去年，一群国家资助的黑客在2018年6月至11月期间成功劫持了华硕Live自动软件更新服务器，并在全球100多万台Windows电脑上推动恶意更新安装后门。

俄罗斯卡巴斯基实验室（Kaspersky Lab）的网络安全研究人员称，他们发现了这次攻击，并为其命名暗影锤行动, Asus was informed about the ongoing supply chain attack on Jan 31, 2019.
在分析了200多个恶意更新样本后，研究人员了解到，黑客不想针对所有用户，而只想针对由其唯一MAC地址标识的特定用户列表，这些地址被硬编码到恶意软件中。

 

研究人员说：“我们能够从这次攻击中使用的200多个样本中提取出600多个唯一的MAC地址。当然，可能还有其他样本的列表中有不同的MAC地址”。

与CCleaner和ShadowPad黑客一样，该恶意文件使用合法的华硕数字证书签名，以使其看起来像是该公司的官方软件更新，并在很长一段时间内不被发现。

目前，研究人员没有将此次攻击归因于任何APT组织，但有某些证据表明，最新的攻击与2017年的ShadowPad事件有关，微软将其归因于Winnti后门背后的APT演员。

 

研究人员说：“最近，我们ESET的同事写了另一起供应链攻击事件，钡也参与其中，我们认为这也与本案有关”。据卡巴斯基称，至少有57000名卡巴斯基用户下载并安装了华硕Live Update的后门版本。

 

卡巴斯基说：“我们（研究人员）无法仅根据我们的数据计算受影响用户的总数；然而，我们估计，问题的实际规模要大得多，可能正在影响全球100多万用户”。

 

赛门铁克告诉Vice，该公司在运行其防病毒软件的13000多台机器上发现了该恶意软件。

卡巴斯基发现的大多数受害者来自俄罗斯、德国、法国、意大利和美国，尽管这些恶意软件感染了来自世界各地的用户。

卡巴斯基已通知华硕和其他防病毒公司此次攻击，而对此事的调查仍在进行中。

这家反病毒公司还发布了一个自动工具，供用户检查他们是否被“暗影锤高级持久性威胁”专门针对。