CPU-Z và HWMonitor bị lợi dụng để phát tán mã độc sau vụ tấn công

 (theregister.com)
3 điểm bởi GN⁺ 12 ngày trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Liên kết tải xuống của các tiện ích hệ thống phổ biến HWMonitor và CPU-Z đã bị chỉnh sửa tạm thời để phát tán mã độc
  • Kẻ tấn công chiếm quyền một phần backend của trang web CPUID để ngẫu nhiên phân phối tệp độc hại thay cho trình cài đặt hợp lệ
  • Phiên bản độc hại chứa CRYPTBASE.dll giả để liên lạc với máy chủ chỉ huy và điều khiển và chèn payload .NET chạy trong bộ nhớ thông qua PowerShell
  • CPUID thừa nhận sự cố xâm nhập và cho biết đã khắc phục trong vòng 6 giờ, các tệp gốc đã ký không bị ảnh hưởng
  • Vụ việc này cho thấy một biến thể của tấn công chuỗi cung ứng, nơi chỉ riêng đường phân phối cũng có thể gây thiệt hại mà không cần sửa mã

Trang web CPUID bị tấn công, bản tải xuống HWMonitor bị thay bằng mã độc

  • Trang web CPUID đã bị tấn công tạm thời, khiến các liên kết tải xuống của HWMonitor và CPU-Z bị sửa thành đường phát tán mã độc
    • Kẻ tấn công chiếm quyền một phần backend để ngẫu nhiên thay liên kết hợp lệ bằng tệp độc hại
    • Một số người dùng báo cáo rằng trình cài đặt kích hoạt cảnh báo từ phần mềm diệt virus hoặc hiển thị với tên tệp bất thường
  • Đã xác nhận trường hợp liên kết cập nhật HWMonitor 1.63 trỏ tới một tệp sai có tên “HWiNFO_Monitor_Setup.exe”, làm dấy lên nghi ngờ có sự can thiệp ở khâu phân phối phía thượng nguồn
    • Nhiều người dùng trên các cộng đồng như Reddit đã nhận ra vấn đề và chia sẻ cảnh báo
  • Sau đó, CPUID chính thức thừa nhận đã bị xâm nhập, giải thích rằng API phụ trợ (thành phần backend) chứ không phải bản build phần mềm đã bị xâm nhập trong khoảng 6 giờ
    • Sự việc diễn ra từ ngày 9 đến 10 tháng 4 và hiện đã được khắc phục
    • Công ty cũng nêu rõ rằng các tệp gốc đã ký không bị ảnh hưởng
  • Tệp cài đặt độc hại nhắm vào người dùng HWMonitor 64-bit và chứa CRYPTBASE.dll giả trông giống như một thành phần của Windows
    • DLL này kết nối tới máy chủ chỉ huy và điều khiển (C2) để tải thêm payload
    • Để không để lại dấu vết trên đĩa, mã độc dùng PowerShell để chạy trong bộ nhớ, biên dịch payload .NET trên hệ thống nạn nhân rồi chèn vào tiến trình khác
    • Cũng ghi nhận hành vi truy cập thông tin đăng nhập được lưu trong trình duyệt thông qua giao diện COM Chrome IElevation
  • Kết quả phân tích cho thấy cuộc tấn công này sử dụng cùng hạ tầng với chiến dịch trước đây nhắm vào người dùng FileZilla
    • Theo phân tích của vx-underground, có dấu hiệu cho thấy cùng một nhóm tấn công đã lạm dụng nhiều mạng phân phối phần mềm khác nhau
  • Dù CPUID cho biết đã xử lý xong sự cố, đường truy cập API bị lợi dụng và số lượng người dùng bị nhiễm vẫn chưa được công bố
    • Vụ việc này được xem là một ví dụ cho thấy kẻ tấn công có thể gây thiệt hại chỉ bằng đường phân phối mà không cần sửa trực tiếp mã nguồn

Bài viết liên quan

1 bình luận

 
GN⁺ 12 ngày trước
Ý kiến trên Hacker News

  • Sam, người bảo trì CPU-Z, đã trực tiếp giải thích tình hình. Trong lúc Franck vắng mặt, anh đang kiểm tra máy chủ và đã xác nhận các tệp trên máy chủ là bình thường theo liên kết VirusTotal. Tuy nhiên, một phần liên kết đã bị chỉnh sửa để trỏ tới trình cài đặt độc hại, và tình trạng này kéo dài khoảng 6 giờ (09/04~10/04 GMT). Hiện các liên kết đã được khôi phục và trang web đã được chuyển sang chế độ chỉ đọc để phục vụ điều tra thêm

    • Với tư cách là người từng viết bài đánh giá CPU, tôi có thể đảm bảo cả Sam và Franck đều là những người đáng tin cậy. Franck là nhân vật chủ chốt của CPUID, còn Sam cũng là một người bạn nổi tiếng với Canard PC và dự án Memtest
    • May là họ đã nhanh chóng xác định vấn đề và sửa liên kết. Thật ra ban đầu tôi tưởng banner quảng cáo trên cpuid.com mới là vấn đề. Trang tải xuống có quá nhiều nút giả như “Download Now”, “Install for Windows 10/11”. Vì vậy trong những tình huống như thế này tôi thích dùng lệnh winget install CPUID.CPU-Z hơn
    • Trong vài tuần gần đây, đây đã là lần thứ ba tôi thấy thông báo tình trạng sẵn sàng bị lạm dụng để thực hiện tấn công canh thời điểm trên Discord hay các kênh chat khác
    • Tôi tò mò không biết cuộc tấn công lần này đã được thực hiện như thế nào

  • Có trường hợp cho biết Windows Defender phát hiện virus ngay sau khi tải xuống, nhưng họ đã bỏ qua vì bình thường Defender hay báo nhầm. Những báo động giả (false positive) như vậy có tác dụng phụ là làm giảm sự cảnh giác về bảo mật

    • Tôi nghĩ Microsoft cũng có một phần trách nhiệm. Defender chặn cả file crack chỉ với lý do như “Win32/Keygen”, khiến người dùng hình thành thói quen tắt phần mềm diệt virus. Kết quả là về sau cả mã độc thật cũng lọt qua
    • Phân phối dựa trên mã nguồn hoặc reproducible builds có thể giúp giảm bớt vấn đề này
    • Để ngăn những tình huống như vậy, cần có một kho ứng dụng Windows hoặc trình quản lý gói đáng tin cậy

  • Có người châm biếm gọi những ai cài ngay phiên bản phần mềm mới là “lá chắn sống

    • Nhưng CPU-Z hay HWMonitor thường được dùng ngay sau khi lắp máy mới để kiểm tra phần cứng. Đây không giống thử nghiệm các bản cập nhật mang tính thực nghiệm như package npm, mà chỉ đơn giản là tải bản mới nhất
    • Sẽ rất tốt nếu có công cụ cho người dùng biết uy tín an toàn của phần mềm, vì Crowdstrike hay các công cụ SAST chỉ dừng ở việc phát hiện sau khi cài
    • Tuy vậy, không có gì đảm bảo rằng bản phát hành từ một tháng trước là an toàn. Kẻ tấn công hoàn toàn có thể chỉ bắt đầu hành vi độc hại sau vài tháng

  • Bị ảnh hưởng lần này là HWMonitor, và trang chính thức với HWInfo là hai chương trình khác nhau. Chủ đề tương tự cũng đang được thảo luận trên Reddit

  • Bản thân trình cài đặt là bình thường, nhưng liên kết trên trang đã bị chỉnh sửa để trỏ tới tệp thực thi độc hại đặt trên Cloudflare R2. Hy vọng sau này sẽ có phân tích nguyên nhân đầy đủ

    • Đây gần với một cuộc tấn công watering hole hơn là tấn công chuỗi cung ứng. Nếu là lập trình viên thì dùng các trình quản lý gói như winget hay chocolatey sẽ an toàn hơn

  • Với người dùng Windows, cài đặt bằng winget có lợi thế tương đối. Manifest chính thức thực hiện xác minh chữ ký, và có thể cài đặt an toàn bằng lệnh winget install --exact --id CPUID.CPU-Z

    • Nhưng WinGet không phải biện pháp bảo vệ hoàn hảo. Quy trình xác minh còn nông, và nếu nguồn gốc đã bị xâm phạm từ trước thì bản cập nhật độc hại vẫn có thể được thông qua. Về bản chất nó gần như phiên bản CLI của MajorGeeks
    • Chỉ kiểm tra SHA trong manifest thì khó ngăn được việc bị can thiệp. Tôi tò mò việc xác minh chữ ký hoạt động như thế nào
    • Dù vậy, Winget vẫn đang dần tốt hơn. Ví dụ khi liên kết trên trang chính thức của ImageMagick bị hỏng thì tải qua Winget vẫn diễn ra bình thường
    • Nhờ có trình quản lý gói mà thiệt hại cũng có thể giảm trong vụ chiếm quyền Notepad++ gần đây. Nếu nhà phát triển tự phân phối thì phải chú ý tới bảo mật hạ tầng như quản lý PKI và phân tán khóa ký

  • Có người lo ngại liệu các phiên bản cài qua Winget (v1.63, v2.19) có an toàn hay không. Họ đang kiểm tra manifest trên GitHubliên kết Winstall

  • Có vẻ cùng một nhóm từng tấn công FileZilla tháng trước cũng có liên quan lần này. Nhưng thay vì dùng tên miền giả, lần này chúng đã hack lớp API của trang chính thức, khiến chính trang hợp pháp phát tán tệp độc hại

  • Các chi tiết kỹ thuật bổ sung đã được tổng hợp trong bài đăng của vx-underground

  • Cuộc tấn công lần này là một nỗ lực tinh vi nhắm vào các tiện ích mà người dùng kỹ thuật tin tưởng, trong đó lớp API tạo ra liên kết tải xuống mới là bề mặt tấn công chính, chứ không phải chính bản nhị phân