マルウェアに使用されるNvidia攻撃でピンチされたコード署名証明書

2022年2月下旬にチップメーカーへのサイバー攻撃の一部として盗まれたNvidiaに属する証明書は、マルウェアを自動防御を通過させるために、悪意のあるコードに署名するために現在使用されています。

Nvidia証明書で署名された悪意のあるパッケージは、Windowsベースのシステムを標的にするために使用されています。 Nvidiaは2月下旬にLapsus $ランサムウェアギャングの標的となり、攻撃の一環として問題の証明書が盗み出されました。 Lapsus $攻撃の総量は、チップメーカーのサーバーから吸い上げられた約1TBのデータに相当します。

期限切れの証明書は引き続きOSで受け入れられます

盗まれた証明書に加えて、Lapsus $は、7万人を超えるNvidiaの従業員が所有する回路図、ドライバー、電子メールとパスワードのハッシュデータを盗むこともできました。

セキュリティ研究者は、最初の攻撃から数日後にTwitterにアクセスし、マルウェアを含むバイナリに署名するために同じ証明書が使用されていたと報告しました。盗まれた証明書を使用するペイロードは、後でMimikatz 、 Cobalt Strike 、およびバックドアとリモートアクセスの悪意のあるツールのインスタンスとして識別されました。

盗まれたNvidia証明書の有効期限が切れたとしても、研究者は、Windowsマシンに正常に展開されるドライバーなどのソフトウェアに署名するためにそれらがまだ使用可能であることを発見しました。

CERTの脆弱性アナリストであるWillDormannとKevinBeaumontは、誤用されたNvidia証明書のシリアル番号を次のように共有しました。

43BB437D609866286DD839E1D00309F5

14781bc862e8dc503a559346f5dcc518

マイクロソフトは緩和技術を提供しています

MicrosoftのエンタープライズおよびOSセキュリティ担当ディレクターは、システムにロードできるNvidiaドライバーを制限する方法をツイートしましたが、これを行うには、Windows Defenderアプリケーション制御ポリシーの設定を微調整する必要があります。これは、通常の場合、正確に把握するのは簡単ではありません。自宅のユーザーですが、専任のITセキュリティスタッフがいる企業や大規模なネットワークを支援する必要があります。

Nvidiaへの攻撃の一環として、Lapsus $ランサムウェアギャングは、チップメーカーがすべてのドライバーをオープンソースにすることを要求しました。これは明らかに決して起こらないことです。ハッカーは自分たちでソースをリリースすると脅迫しましたが、これは現時点ではまだ脅威にすぎません。