На этой неделе злоумышленники похитили сертификаты NVIDIA и активно используют для подписи вредоносного ПО, что позволяет легитимно и беспрепятственно загружать и исполнять вредоносные драйвера.

Группировка Lapsus$ похитила более 1 ТБ данных в ходе атаки и начала сливать данные после того как NVIDIA отказалась сотрудничать с ними.

Похищенные данные включали также сертификаты, для подписи кода, которые использовали разработчики NVIDIA чтобы осуществлять подпись драйверов и исполняемых файлов.

Для повышения безопасности в Windows, Microsoft также требует выполнение только подписанных драйверов в режиме ядра.

По экземплярам загруженного вредоносного ПО на VirusTotal, исследователи быстро обнаружили, что данные файлы имеют валидную цифровую подпись NVIDIA. Среди них различные утилиты: часто используемые хакерами, Cobalt Strike beacons, Mimikatz, backdoors, и троянское ПО ( в большинстве своем RAT — remote access tools).

К примеру, один из злоумышленников использовал сертификаты для подписи RAT Quasar, в то время как другие использовали сертификаты для подписи вредоносных драйверов Windows.

Исследователи Kevin Beaumont and Will Dormann поделились информацией, что украденные сертификаты имеют серийные номера:


43BB437D609866286DD839E1D00309F5
14781bc862e8dc503a559346f5dcc518

Некоторые из вредоносных файлов были загружены исследователями в сфере ИБ, в то время как другие были загружены после инцидентов и успешных вредоносных кампаний 1, 2.

Для предотвращения загрузки и эксплуатации известных уязвимостей в Windows, David Weston, директор компании и направления ИБ ОС Windows, написал в твиттер, что администраторы могут настроить конфигурацию для Windows Defender Application Control policies (WDAC).

Тем не менее, использование WDAC отнюдь не простая задача, особенно когда речь идет о пользователях, не смыслящих в IT. Надеемся, что в скором времени компания внесет сертификаты
в список недоверенных , чтобы предотвратить загрузку вредоносных драйверов в Windows.