安全|NVIDIA拒绝支付赎金后 威胁者利用代码签署恶意软件 可在Windows中加载
【安全|NVIDIA拒绝支付赎金后 威胁者利用代码签署恶意软件 可在Windows中加载】利用窃取过来的 NVIDIA 代码,威胁者利用签名证书来签署恶意软件,使其看起来值得信赖,并允许在 Windows 中加载恶意驱动程序 。本周,NVIDIA 公司证实,他们遭受了一次网络攻击,使威胁者得以窃取员工的证书和专有数据 。
文章图片
对本次泄露事件负责的勒索集团 Lapsus$ 表示,他们已经窃取了 1TB 的数据,并在 NVIDIA 拒绝与他们谈判后开始在网上泄露这些数据 。泄漏的数据包括 2 份被盗的代码签名证书,这些证书是 NVIDIA 开发人员用来签署其驱动程序和可执行文件的 。
文章图片
代码签名证书允许开发人员对可执行文件和驱动程序进行数字签名,以便 Windows 和终端用户能够验证文件的所有者,以及它们是否被第三方篡改过 。为了提高 Windows 的安全性,微软还要求内核模式的驱动程序在操作系统加载之前必须进行代码签名 。
文章图片
文章图片
在 Lapsus$ 泄露了英伟达的代码签名证书后,安全研究人员很快发现,这些证书被用来签署恶意软件和威胁者使用的其他工具 。根据上传到 VirusTotal 恶意软件扫描服务的样本,被盗的证书被用来签署各种恶意软件和黑客工具,如 Cobalt Strike 信标、Mimikatz、后门和远程访问木马 。
例如,一个威胁者用该证书签署了一个 Quasar 远程访问特洛伊木马[VirusTotal],而另一个人用该证书签署了一个 Windows 驱动程序[VirusTotal] 。虽然这 2 个被盗的英伟达证书都已过期,但Windows仍然允许在操作系统中加载用这些证书签名的驱动程序 。
推荐阅读
- Express|华硕推出 Pro Q670M 主板,支持企业安全和管理功能
- nVIDIA|加密货币“矿工”复仇:黑入英伟达盗取1TB数据 要求所有显卡开源
- nVIDIA|NVIDIA新卡皇RTX 3090 Ti月底出山 传出问题相当严重
- nVIDIA|消息称NVIDIA RTX 3070 Ti 16GB版本已被取消
- Mozilla|Mozilla为Firefox浏览器提供"计划外更新" 修补两个关键安全漏洞
- nVIDIA|NVIDIA证实已经停止在俄罗斯市场的销售工作
- Samsung|又一数码巨头成受害者 三星遭NVIDIA同一组黑客攻击
- 标准化|英飞凌推出采用后量子加密技术进行固件更新的 TPM 安全芯片
- nVIDIA|英伟达7万多员工密码遭泄露 肇事黑客“开源”190GB机密数据
- 数字货币|大型加密货币交易平台拒绝向普通俄罗斯民众扩大制裁