Aanvallers zijn erin geslaagd om het updatekanaal van Cobra DocGuard te kapen en te gebruiken voor de verspreiding van een backdoor die door Microsoft was gesigneerd, zo meldt securitybedrijf Symantec in een analyse. De meeste slachtoffers van de supply chain-aanval bevinden zich in in Hong Kong. Cobra DocGuard is een programma voor het beveiligen, versleutelen en ontsleutelen van software, ontwikkeld door het Chinese EsafeNet.
Vorig jaar september meldde antivirusbedrijf ESET dat een update voor de software was gebruikt voor het infecteren van een gokbedrijf in Hong Kong. In april bleek dat er opnieuw besmette updates onder gebruikers van de software waren verspreid. De afgelopen maanden zijn erop deze manier verschillende malware-exemplaren "uitgerold". Een van de malware-exemplaren was gesigneerd door Microsoft en downloadde de Korplug-backdoor op systemen.
Deze backdoor kan aanvallers commando's op besmette systemen laten uitvoeren, bestanden stelen, toetsaanslagen opslaan en firewall-poorten openzetten. De malafide downloader beschikte over een certificaat van Microsoft. Vanaf Windows 10 moeten alle drivers via het Windows Hardware Developer Center Dashboard portal gesigneerd zijn.
Ontwikkelaars moeten hiervoor een account aanmaken, en aan verschillende eisen voldoen, voordat ze hun driver kunnen indienen. Microsoft controleert vervolgens de driver en zal die als alles goed is signeren. Verschillende malafide partijen hebben het Windows Hardware Developer Program misbruikt om hun malafide drivers door Microsoft gesigneerd te krijgen, zo liet het techbedrijf afgelopen juli weten.
Zo'n honderd systemen raakten besmet via de malafide updates voor Cobra DocGuard. Het programma draait op zo'n tweeduizend systemen, aldus de onderzoekers. Dit zou suggereren dat de aanvallers de malware selectief onder bepaalde slachtoffers verspreiden. Hoe de aanvallers erin zijn geslaagd het updatekanaal van DocGuard te compromitteren wordt niet door Symantec gemeld.
Deze posting is gelocked. Reageren is niet meer mogelijk.