Bei Nvidia-Angriff geklaute Code-Signatur-Zertifikate werden für Malware verwendet

Zertifikate von Nvidia, die im Rahmen des Cyberangriffs auf den Chiphersteller Ende Februar 2022 gestohlen wurden, werden derzeit zum Signieren von Schadcode verwendet, um Malware an automatisierten Abwehrmechanismen vorbeizuschieben.

Die mit den Nvidia-Zertifikaten signierten bösartigen Pakete werden verwendet, um auf Windows-basierte Systeme abzuzielen. Nvidia wurde Ende Februar von der Lapsus$-Ransomware-Gang angegriffen und die fraglichen Zertifikate wurden im Rahmen des Angriffs exfiltriert. Das Gesamtvolumen des Lapsus$-Angriffs belief sich auf etwa 1 TB an Daten, die von den Servern des Chipherstellers abgezogen wurden.

Abgelaufene Zertifikate werden noch vom Betriebssystem akzeptiert

Zusätzlich zu den gestohlenen Zertifikaten gelang es Lapsus$ auch, Schaltpläne, Treiber sowie E-Mail- und Passwort-Hash-Daten von über 70.000 Nvidia-Mitarbeitern zu stehlen.

Sicherheitsforscher meldeten sich einige Tage nach dem ersten Angriff bei Twitter und berichteten, dass die gleichen Zertifikate zum Signieren von Binärdateien verwendet wurden, die Malware enthielten. Die Payloads, die die gestohlenen Zertifikate verwenden, wurden später als Instanzen von Mimikatz, Cobalt Strike und schädlichen Backdoor- und Fernzugriffstools identifiziert.

Obwohl die gestohlenen Nvidia-Zertifikate abgelaufen sind, stellten die Forscher fest, dass sie immer noch zum Signieren von Software wie Treibern verwendet werden konnten, die sich problemlos auf Windows-Computern bereitstellen ließen.

Will Dormann, ein Schwachstellenanalyst bei CERT, und Kevin Beaumont teilten die Seriennummern für die missbrauchten Nvidia-Zertifikate mit, die wie folgt lauten:

43BB437D609866286DD839E1D00309F5

14781bc862e8dc503a559346f5dcc518

Microsoft bietet Minderungstechniken an

Der Direktor für Unternehmens- und Betriebssystemsicherheit von Microsoft hat einen Weg getwittert, um zu begrenzen, was Nvidia-Treiber auf das System laden dürfen, aber dazu müssen die Einstellungen in den Anwendungssteuerungsrichtlinien von Windows Defender angepasst werden. Für Benutzer zu Hause ist das gewöhnlich nicht gerade einfach herauszufinden, sollte aber Unternehmen und größeren Netzwerken mit dediziertem IT-Sicherheitspersonal helfen.

Als Teil ihres Angriffs auf Nvidia hat die Ransomware-Gang Lapsus$ gefordert, dass der Chiphersteller alle seine Treiber Open-Source macht, was offensichtlich niemals passieren wird. Die Hacker haben damit gedroht, die Quelle selbst freizugeben, aber das ist an dieser Stelle immer noch nur eine Drohung.