华硕的更新软件感染了后门可能会影响100万用户

安全厂商卡巴斯基今天披露了一种新的高级持续性威胁（APT），它声称可能会影响全球超过一百万的华硕硬件用户。被称为ShadowHammer的APT背后的黑客据称改变了华硕实时更新实用程序，并在去年6月至11月期间为该系统注入了后门。

该实用程序负责将重要的软件更新推送到华硕笔记本电脑和台式机。为了绕过主要安全解决方案的检测，黑客用从华硕窃取的合法数字证书签署了该实用程序的修改版本，并将该木马化系统推送到该公司的更新服务器。
根据卡巴斯基的调查结果，每个后门代码都有一个MAC地址列表，可以扫描设备的唯一MAC地址，并在找到匹配项后将恶意负载下载到计算机上。在数十万个可能受影响的设备中，恶意软件仅针对600个特定MAC地址。

卡巴斯基的研究人员还发现了另外三家位于亚洲的供应商，他们的软件被同样的后门感染了。卡巴斯基实验室亚太区全球研究与分析团队主任Vitaly Kamluk表示：

“选定的供应商对于可能希望利用其庞大客户群的APT集团来说是非常有吸引力的目标。目前尚不清楚攻击者的最终目标是什么，我们仍在研究攻击背后的人。然而，用于实现未经授权的代码执行的技术以及其他发现的伪像表明ShadowHammer可能与BARIUM APT有关，后者之前与ShadowPad和CCleaner事件有关。这一新的活动是当今智能供应链攻击的复杂性和危险性的另一个例子。“

该公司在1月份发现了这个恶意软件，并且已经向华硕和其他三家未透露姓名的供应商报告过。ShadowHammer的全部细节将于4月9日至11日在新加坡举行的2019年安全分析师峰会上公布。