CPU-Z และ HWMonitor ถูกใช้แจกจ่ายมัลแวร์ผ่านการแฮ็ก

 (theregister.com)
3 คะแนน โดย GN⁺ 18 일 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ลิงก์ดาวน์โหลดของยูทิลิตีระบบยอดนิยม HWMonitor และ CPU-Z ถูกดัดแปลงชั่วคราวจนถูกใช้แจกจ่ายมัลแวร์
  • ผู้โจมตี ยึดการควบคุมบางส่วนของแบ็กเอนด์เว็บไซต์ CPUID เพื่อสุ่มส่งไฟล์อันตรายแทนไฟล์ติดตั้งปกติ
  • เวอร์ชันอันตรายมี CRYPTBASE.dll ปลอม และสื่อสารกับ เซิร์ฟเวอร์สั่งการและควบคุม พร้อมฉีด เพย์โหลด .NET ที่รันอยู่ในหน่วยความจำผ่าน PowerShell
  • CPUID ยอมรับการถูกเจาะระบบและประกาศว่า แก้ไขเสร็จภายใน 6 ชั่วโมง โดยระบุว่าไฟล์ต้นฉบับที่มีลายเซ็นไม่ได้เสียหาย
  • เหตุการณ์นี้เป็น ส่วนต่อเนื่องของการโจมตีแบบซัพพลายเชน ที่แสดงให้เห็นว่าสามารถสร้างความเสียหายได้ผ่านเส้นทางการแจกจ่ายเพียงอย่างเดียวโดยไม่ต้องแก้ไขโค้ด

เว็บไซต์ CPUID ถูกแฮ็กจนดาวน์โหลด HWMonitor แล้วกลายเป็นมัลแวร์

  • เว็บไซต์ CPUID ถูกแฮ็กชั่วคราว ทำให้ลิงก์ดาวน์โหลดของ HWMonitor และ CPU-Z ถูกดัดแปลงเป็นช่องทางแจกจ่ายมัลแวร์
    • ผู้โจมตียึดการควบคุมบางส่วนของแบ็กเอนด์และสุ่มเปลี่ยนลิงก์ปกติให้ชี้ไปยังไฟล์อันตราย
    • ผู้ใช้บางรายรายงานว่าไฟล์ติดตั้ง ทำให้แอนติไวรัสแจ้งเตือน หรือแสดงชื่อไฟล์ผิดปกติ
  • มีการยืนยันกรณีที่ลิงก์อัปเดต HWMonitor 1.63 เชื่อมไปยังไฟล์ที่ไม่ถูกต้องชื่อ “HWiNFO_Monitor_Setup.exe” ทำให้สงสัยว่ามีการดัดแปลงตั้งแต่ต้นทาง
    • ผู้ใช้จำนวนมากในชุมชนอย่าง Reddit รับรู้ปัญหาและแชร์คำเตือนกัน
  • ต่อมา CPUID ยอมรับอย่างเป็นทางการว่าถูกเจาะระบบ โดยอธิบายว่าไม่ใช่ตัวซอฟต์แวร์บิลด์เองที่ถูกกระทบ แต่เป็น API เสริม (องค์ประกอบฝั่งแบ็กเอนด์) ที่ถูกเจาะเป็นเวลาราว 6 ชั่วโมง
    • เหตุการณ์เกิดขึ้นระหว่างวันที่ 9 ถึง 10 เมษายน และขณะนี้แก้ไขเรียบร้อยแล้ว
    • บริษัทย้ำว่าไฟล์ต้นฉบับที่มีลายเซ็นไม่ได้เสียหาย
  • ไฟล์ติดตั้งอันตรายมุ่งเป้าไปที่ผู้ใช้ HWMonitor แบบ 64 บิต และมี CRYPTBASE.dll ปลอม ที่ทำให้ดูเหมือนเป็นส่วนประกอบของ Windows
    • DLL ดังกล่าวเชื่อมต่อกับ เซิร์ฟเวอร์สั่งการและควบคุม (C2) เพื่อดาวน์โหลดเพย์โหลดเพิ่มเติม
    • มัลแวร์ใช้ PowerShell เพื่อรันในหน่วยความจำ โดยไม่ทิ้งร่องรอยไว้บนดิสก์ จากนั้นคอมไพล์เพย์โหลด .NET บนเครื่องเหยื่อแล้วฉีดเข้าไปในโปรเซสอื่น
    • ยังพบพฤติกรรมที่เข้าถึงข้อมูลรับรองที่เบราว์เซอร์เก็บไว้ผ่าน Chrome IElevation COM interface
  • ผลการวิเคราะห์ระบุว่า การโจมตีครั้งนี้ใช้อินฟราสตรักเจอร์เดียวกับ แคมเปญที่เคยมุ่งเป้าไปยังผู้ใช้ FileZilla
    • ตามการวิเคราะห์ของ vx-underground มีสัญญาณว่ากลุ่มผู้โจมตีเดียวกันได้ใช้ประโยชน์จากเครือข่ายการแจกจ่ายซอฟต์แวร์หลายแห่ง
  • แม้ CPUID จะระบุว่าแก้ปัญหาแล้ว แต่ เส้นทางการเข้าถึง API และจำนวนผู้ใช้ที่ติดเชื้อ ยังไม่ได้เปิดเผย
    • เหตุการณ์นี้ถูกมองว่าเป็นตัวอย่างที่แสดงให้เห็นว่า ผู้โจมตีสามารถ สร้างความเสียหายผ่านเส้นทางการแจกจ่ายได้โดยไม่ต้องแก้ไขโค้ดตัวโปรแกรมเอง

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 18 일 전
ความเห็นจาก Hacker News

  • Sam ผู้ดูแลรักษา CPU-Z ออกมาอธิบายสถานการณ์ด้วยตัวเอง กำลังตรวจสอบเซิร์ฟเวอร์ในช่วงที่ Franck ไม่อยู่ และยืนยันตาม ลิงก์ VirusTotal ว่าไฟล์บนเซิร์ฟเวอร์ยังปกติดี อย่างไรก็ตามมีบางลิงก์ถูกแก้ไขให้ชี้ไปยังไฟล์ติดตั้งมัลแวร์ และถูกเปิดเผยอยู่ราว 6 ชั่วโมง (09/04~10/04 GMT) ตอนนี้ได้กู้คืนลิงก์แล้วและเปลี่ยนเว็บไซต์เป็น โหมดอ่านอย่างเดียว เพื่อสืบสวนเพิ่มเติม

    • ในฐานะคนที่เคยเขียนรีวิว CPU มาก่อน ขอยืนยันว่า Sam และ Franck ต่างก็เป็นคนที่ไว้ใจได้ Franck เป็นบุคคลสำคัญของ CPUID และ Sam ก็เป็นเพื่อนที่รู้จักจากโปรเจกต์ Canard PC และ Memtest
    • โชคดีที่ตรวจพบปัญหาและแก้ลิงก์ได้อย่างรวดเร็ว ตอนแรกคิดว่าปัญหามาจาก แบนเนอร์โฆษณา บน cpuid.com เสียอีก เพราะหน้าโหลดเต็มไปด้วยปุ่มปลอมอย่าง “Download Now”, “Install for Windows 10/11” เลยทำให้ในสถานการณ์แบบนี้ฉันชอบใช้คำสั่ง winget install CPUID.CPU-Z มากกว่า
    • ในช่วงไม่กี่สัปดาห์ที่ผ่านมา นี่เป็นครั้งที่สามแล้วที่เห็น การแจ้งเตือนความพร้อมใช้งาน ถูกนำไปใช้โจมตีเรื่องจังหวะเวลาใน Discord หรือแชตอื่น ๆ
    • อยากรู้ว่าการโจมตีครั้งนี้ทำได้อย่างไร

  • มีกรณีหนึ่งที่หลังดาวน์โหลดแล้ว Windows Defender ตรวจพบไวรัสทันที แต่ผู้ใช้กลับมองข้ามเพราะปกติแจ้งผิดพลาดบ่อย ผลข้างเคียงของ false positive แบบนี้คือทำให้คนชะล่าใจเรื่องความปลอดภัย

    • คิดว่า Microsoft ก็มีส่วนรับผิดชอบบางส่วน เพราะ Defender มักบล็อกไฟล์แคร็กด้วยเหตุผลง่าย ๆ อย่าง “Win32/Keygen” จนทำให้ผู้ใช้ติดนิสัย ปิดแอนติไวรัส และสุดท้ายก็เปิดทางให้มัลแวร์จริงผ่านเข้าไปได้
    • ปัญหาแบบนี้อาจบรรเทาได้ด้วย การแจกจ่ายจากซอร์ส หรือ reproducible builds
    • ถ้าจะป้องกันสถานการณ์แบบนี้จริง ๆ ก็ควรมี Windows app store หรือ package manager ที่เชื่อถือได้

  • มีการเหน็บแนมเรียกคนที่ติดตั้งซอฟต์แวร์เวอร์ชันใหม่ทันทีว่า “โล่มนุษย์

    • แต่ CPU-Z หรือ HWMonitor มักเป็นโปรแกรมที่เปิดใช้ทันทีหลังลง PC ใหม่เพื่อเช็กฮาร์ดแวร์ ไม่ได้เหมือนแพ็กเกจ npm ที่ไว้ทดสอบอัปเดตทดลอง แค่ดาวน์โหลดเวอร์ชันล่าสุดเท่านั้น
    • ถ้ามีเครื่องมือที่บอก ชื่อเสียงด้านความปลอดภัย ของซอฟต์แวร์ให้ผู้ใช้รู้ก็คงดี เพราะเครื่องมืออย่าง Crowdstrike หรือ SAST ทำได้แค่ตรวจจับหลังติดตั้ง
    • แต่ต่อให้เป็นเวอร์ชันที่ออกมาหนึ่งเดือนแล้วก็ไม่ได้แปลว่าปลอดภัยเสมอไป ผู้โจมตีอาจเริ่มทำพฤติกรรมอันตรายหลังจากนั้นอีกหลายเดือนก็ได้

  • สิ่งที่ได้รับผลกระทบในครั้งนี้คือ HWMonitor และ หน้าทางการ กับ HWInfo เป็นคนละโปรแกรมกัน ประเด็นเดียวกันนี้ก็กำลังถูกพูดถึงบน Reddit เช่นกัน

  • ตัวไฟล์ติดตั้งเองยังปกติ แต่ลิงก์บนเว็บไซต์ถูกแก้ไขให้ชี้ไปยังไฟล์รันมัลแวร์บน Cloudflare R2 จึงน่าจับตาดูการวิเคราะห์สาเหตุในภายหลัง

    • ถ้าจะเรียกให้แม่น นี่ใกล้เคียงกับการโจมตีแบบ watering hole มากกว่าจะเป็น supply chain attack ถ้าเป็นนักพัฒนาก็ปลอดภัยกว่าหากใช้ package manager อย่าง winget หรือ chocolatey

  • ผู้ใช้ Windows จะได้เปรียบกว่าเล็กน้อยหากติดตั้งผ่าน winget เพราะมีการตรวจสอบลายเซ็นจาก official manifest และสามารถติดตั้งอย่างปลอดภัยด้วยคำสั่ง winget install --exact --id CPUID.CPU-Z

    • แต่ WinGet ก็ไม่ใช่มาตรการป้องกันที่สมบูรณ์ ขั้นตอนตรวจสอบยังตื้น และถ้าต้นทางถูกเจาะไปแล้ว อัปเดตอันตรายก็อาจผ่านเข้ามาได้ พูดง่าย ๆ คือเป็น MajorGeeks แบบ CLI
    • แค่การเช็ก SHA ใน manifest อย่างเดียวอาจไม่พอจะป้องกันการแก้ไขไฟล์ เลยสงสัยว่าการตรวจสอบลายเซ็นทำงานอย่างไร
    • ถึงอย่างนั้น Winget ก็ดีขึ้นเรื่อย ๆ เช่นตอนที่ลิงก์บนเว็บทางการของ ImageMagick เสีย Winget ยังดาวน์โหลดได้ตามปกติ
    • package manager ยังช่วยลดความเสียหายจาก เหตุ Notepad++ ถูกไฮแจ็ก เมื่อไม่นานนี้ด้วย หากนักพัฒนาจะกระจายซอฟต์แวร์เองก็ต้องใส่ใจความปลอดภัยของโครงสร้างพื้นฐาน เช่น การจัดการ PKI และการกระจาย signing key

  • มีความกังวลว่าเวอร์ชันที่ติดตั้งผ่าน Winget (v1.63, v2.19) ปลอดภัยหรือไม่ โดยกำลังตรวจสอบ GitHub manifest และ ลิงก์ Winstall

  • ดูเหมือนว่ากลุ่มเดียวกับที่โจมตี FileZilla เมื่อเดือนที่แล้วจะเกี่ยวข้องกับเหตุครั้งนี้ด้วย คราวนี้ไม่ได้ใช้โดเมนปลอม แต่แฮ็ก ชั้น API ของเว็บไซต์ทางการ เพื่อให้เว็บจริงแจกไฟล์อันตรายแทน

  • รายละเอียดทางเทคนิคเพิ่มเติมถูกรวบรวมไว้ใน โพสต์ของ vx-underground

  • การโจมตีครั้งนี้เป็นความพยายามที่ซับซ้อนซึ่งพุ่งเป้าไปที่ ยูทิลิตีที่ผู้ใช้สายเทคนิคไว้วางใจ และพื้นผิวการโจมตีหลักไม่ใช่ตัวไบนารีเอง แต่เป็น ชั้น API ที่สร้างลิงก์ดาวน์โหลด