彼らは、Pleadマルウェアを介してASUS WebStorageサービスのセキュリティを破ることができました

彼らは、Pleadマルウェアを通じてASUS WevStorageサービスのセキュリティを破ることができました

台湾のESETの研究者グループによると、数日前に、Pleadマルウェアが、特にアジア諸国でのサイバースパイ活動に焦点を絞った標的型攻撃でBlackTechグループによって使用されていたことが報告されました。このプログラムは、ASUS WebStorageサービスを悪用した危殆化したルーターを通じて配布されたようです。

4月末に、Pleadマルウェアを異常な方法で拡散させようとする試みが複数見られたときに発生しました。Pleadに組み込まれたバックドアは、AsusWSPanel.exeと呼ばれる正当なプロセスを使用して作成および実行されました。このプロセスは、ASUS WebStorageと呼ばれるクラウドストレージサービスクライアントに属しています。また、実行可能ファイルがASUS Cloud Corporationによってデジタル署名されていることもわかりました。言うまでもなく、ESETの研究者たちは、何が起こったかをすでにASUSに通知しています。

真ん中の男

MitM攻撃(中間者)

ESETから、彼らはそれがスペイン語に翻訳された「中間者」攻撃または「中間者攻撃」を意味する「中間者」攻撃である可能性があるという疑いも持っています。おそらく、  ASUS WebStorageソフトウェアは、そのような攻撃に対して脆弱です。これは、ASUSアプリケーションの更新プロセス中に行われ、Pleadバックドアを被害者に配信します。

これまでに学んだように、ASUS WebStorageの更新メカニズムには、HTTPを使用して更新を要求するクライアントからの要求が含まれます。招待が受信されると、サーバーはXML形式で応答し、応答にはガイドとリンクが含まれます。次に、ソフトウェアは、インストールされているバージョンが最新バージョンよりも古いかどうかを確認します。その場合は、提供されたURLを使用してバイナリをリクエストします。

これは、攻撃者が独自のデータを使用してこれら2つのアイテム置き換えることにより、更新をトリガーできる場合です。上の図は、侵害されたルーターを介して特定のターゲットに悪意のあるペイロードを挿入するために使用される可能性が最も高いシナリオを示しています。