NVIDIA拒绝支付赎金后 威胁者利用代码签署恶意软件
VSole2022-03-07 06:26:59
对本次泄露事件负责的勒索集团 Lapsus$ 表示,他们已经窃取了 1TB 的数据,并在 NVIDIA 拒绝与他们谈判后开始在网上泄露这些数据。泄漏的数据包括 2 份被盗的代码签名证书,这些证书是 NVIDIA 开发人员用来签署其驱动程序和可执行文件的。
代码签名证书允许开发人员对可执行文件和驱动程序进行数字签名,以便 Windows 和终端用户能够验证文件的所有者,以及它们是否被第三方篡改过。为了提高 Windows 的安全性,微软还要求内核模式的驱动程序在操作系统加载之前必须进行代码签名。
在 Lapsus$ 泄露了英伟达的代码签名证书后,安全研究人员很快发现,这些证书被用来签署恶意软件和威胁者使用的其他工具。根据上传到 VirusTotal 恶意软件扫描服务的样本,被盗的证书被用来签署各种恶意软件和黑客工具,如 Cobalt Strike 信标、Mimikatz、后门和远程访问木马。
例如,一个威胁者用该证书签署了一个 Quasar 远程访问特洛伊木马[VirusTotal],而另一个人用该证书签署了一个 Windows 驱动程序[VirusTotal]。虽然这 2 个被盗的英伟达证书都已过期,但Windows仍然允许在操作系统中加载用这些证书签名的驱动程序。
VSole
网络安全专家