TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Operation ShadowHammer (まとめ)

【要点】

◆ASUS Live Updateソフトウェアを利用したサプライチェーン攻撃


【概要】

項目 内容
被害組織 ASUS (PCベンダー)
キャンペーン  Operation ShadowHammer (シャドゥハンマー)
使用マルウェア ShadowHammer
感染期間 2018年6月~2018年11月
攻撃手法 サプライチェーン攻撃、水飲み場型攻撃
偽装ツール ASUS Live Update
署名 正規の証明書
偽装テクニック サイズは正規のものと同一
攻撃対象 約600個のMACアドレス


【辞書】

◆Operation ShadowHammer (AligenVault)
https://otx.alienvault.com/pulse/5c98e8691ad90055079c6179?utm_medium=InProduct&utm_source=OTX&utm_content=Email&utm_campaign=new_pulse_from_subscribed

【ニュース】

◆Hackers Hijacked ASUS Software Updates to Install Backdoors on Thousands of Computers (MotherBoard, 2019/03/25 10:00)
https://motherboard.vice.com/en_us/article/pan9wn/hackers-hijacked-asus-software-updates-to-install-backdoors-on-thousands-of-computers
http://malware-log.hatenablog.com/entry/2019/03/25/000000_5

◆Some ASUS Updates Drop Backdoors on PCs in ‘Operation ShadowHammer’ (Threat Post, 2019/03/25 12:40)
https://threatpost.com/asus-pc-backdoors-shadowhammer/143129/
http://malware-log.hatenablog.com/entry/2019/03/25/000000_6

◆ASUSの自動更新を悪用したサプライチェーン攻撃、ユーザーにマルウェア配信 (ITmedia, 2019/03/26 09:06)
https://www.itmedia.co.jp/news/articles/1903/26/news074.html
http://malware-log.hatenablog.com/entry/2019/03/26/000000

◆ASUSのアップデートツールからマルウェア配信、世界で多数のPCに影響か--カスペルスキー (ZDNet, 2019/03/26 10:46)
https://japan.zdnet.com/article/35134714/
http://malware-log.hatenablog.com/entry/2019/03/26/000000

◆ASUS公式の「ASUS Live Update Utility」に設けられたバックドア経由でマルウェアが配布されていたことが判明 (Gigazine, 2019/03/26 12:00)
https://gigazine.net/news/20190326-asus-live-update-utility-backdoor/
http://malware-log.hatenablog.com/entry/2019/03/26/000000

◆Asus、ソフトウェアアップデートシステムに侵入されマルウェアが約100万台に拡散か (iPhone Mania, 2019/03/26 15:26)
https://iphone-mania.jp/news-243428/
http://malware-log.hatenablog.com/entry/2019/03/26/000000

◆ASUS公式の自動更新ツールからマルウェア感染、日本ユーザーも標的になった“サプライチェーン攻撃”を確認 世界100万人以上に影響の可能性 (Internet watch, 2019/03/26 16:27)
https://internet.watch.impress.co.jp/docs/news/1176553.html
http://malware-log.hatenablog.com/entry/2019/03/26/000000

◆ASUS製PCの自動更新ツールがトロイの木馬化。100万人規模に影響の恐れ (PC watch, 2019/03/26 17:02)
https://pc.watch.impress.co.jp/docs/news/1176572.html
http://malware-log.hatenablog.com/entry/2019/03/26/000000

◆ASUSの自動更新ソフトにバックドア。更新サーバーが乗っ取られユーザーに配布 (Engadget, 2019/03/26)

2018年6月~11月の間に配布されていたとのこと

https://japanese.engadget.com/2019/03/25/asus/
http://malware-log.hatenablog.com/entry/2019/03/26/000000

◆ASUS、マルウェア配信に悪用された「Live Update」ツールの修正版を公開 (CNet, 2019/03/27 13:22)
https://japan.cnet.com/article/35134793/
http://malware-log.hatenablog.com/entry/2019/03/27/000000

◆ASUSの自動更新ツールにサイバー攻撃、100万台影響か (日経新聞, 2019/03/27 14:50)
https://www.nikkei.com/article/DGXMZO42970740X20C19A3000000/
http://malware-log.hatenablog.com/entry/2019/03/27/000000_3

◆ASUS、マルウェア感染を修正したアップデータの配布を開始。セキュリティ診断ツールも公開 (Engadget, 2019/03/27)
https://japanese.engadget.com/2019/03/27/asus/
http://malware-log.hatenablog.com/entry/2019/03/27/000000

◆ASUSの自動更新ツールにサイバー攻撃、100万台影響か (日経新聞, 2019/03/27 14:50)
https://www.nikkei.com/article/DGXMZO42970740X20C19A3000000/
http://malware-log.hatenablog.com/entry/2019/03/27/194648

◆ASUSの数十万台のPC、バックドア感染のおそれ - Live Update更新を (マイナビニュース, 2019/03/28 09:35)
https://news.mynavi.jp/article/20190328-795885/
http://malware-log.hatenablog.com/entry/2019/03/28/000000_5

◆Asus、APT攻撃に使用されたマルウェアの診断ツールを公開〜少数デバイスのみが影響 (iPhone Mania, 2019/03/28 18:15)
https://iphone-mania.jp/news-243867/
https://malware-log.hatenablog.com/entry/2019/03/28/000000_3

◆ASUSの更新機能が侵害、マルウェア拡散 - MACアドレスで標的絞りさらなる攻撃 (Security NEXT, 2019/03/28)
http://www.security-next.com/103753
http://malware-log.hatenablog.com/entry/2019/03/28/000000_5

◆台湾ASUSのサーバを攻撃した、謎めいたハッカー集団の存在 (Forbes, 2019/03/29 10:45)
https://forbesjapan.com/articles/detail/26368
http://malware-log.hatenablog.com/entry/2019/03/29/000000

◆ASUS、脆弱性修正したアップデートソフトウェアを公開 (マイナビニュース, 2019/03/29 06:39)
https://news.mynavi.jp/article/20190328-797063/
http://malware-log.hatenablog.com/entry/2019/03/29/000000_1

◆MAC Addresses Targeted by the ASUS Supply Chain Attack Now Available (BleepingComputer, 2019/03/29)
https://www.bleepingcomputer.com/news/security/mac-addresses-targeted-by-the-asus-supply-chain-attack-now-available/
https://malware-log.hatenablog.com/entry/2019/03/29/000000_25


【ブログ】

◆Operation ShadowHammer (SecureList, 2019/03/25)
https://securelist.com/operation-shadowhammer/89992/
http://malware-log.hatenablog.com/entry/2019/03/25/000000_4

◆ShadowHammer: Malicious updates for ASUS laptops (Kaspersky, 2019/03/25)
https://www.kaspersky.com/blog/shadow-hammer-teaser/26149/
http://malware-log.hatenablog.com/entry/2019/03/25/000000_3

◆バックドア化したASUS Live Updateを通じた攻撃(Operation ShadowHammer)についてまとめてみた (piyolog, 2019/03/26)
https://piyolog.hatenadiary.jp/entry/2019/03/26/064637
http://malware-log.hatenablog.com/entry/2019/03/26/000000_1

◆ASUS Software Updates Used for Supply Chain Attacks (Symantec, 2019/03/26)

ASUS update system hijacked to send out malicious updates to as many as half a million computers.

https://www.symantec.com/blogs/threat-intelligence/asus-supply-chain-attack
http://malware-log.hatenablog.com/entry/2019/03/26/000000_3

◆Operation ShadowHammer (ASUS証明書のみの問題?) (Ahnlab, 2019/03/27 23:13)
https://asec.ahnlab.com/1214
http://malware-log.hatenablog.com/entry/2019/03/27/000000_4

◆ShadowHammer:ASUSのラップトップを狙う悪意あるアップデート (Kaspersky, 2019/03/28)
https://blog.kaspersky.co.jp/shadow-hammer-teaser/22850/
http://malware-log.hatenablog.com/entry/2019/03/28/000000_6

◆Operation ShadowHammer: a high-profile supply chain attack (SecureList(Kaspersky), 2019/04/23)
https://securelist.com/operation-shadowhammer-a-high-profile-supply-chain-attack/90380/
https://malware-log.hatenablog.com/entry/2019/04/23/000000_12

◆BACKDOOR SHADOWHAMMER HABRÍA COMPROMETIDO A LA EMPRESA “ASUS” Y OTROS FABRICANTES DE SOFTWARE (SecureSoft, 2019/04/25)
https://securitysummitperu.com/articulos/backdoor-shadowhammer-habria-comprometido-a-la-empresa-asus-y-otros-fabricantes-de-software/
https://malware-log.hatenablog.com/entry/2019/04/25/000000_23


【公開情報】

◆ASUS Releases Security Update for Live Update Software (CISA, 2019/03/26)
https://www.us-cert.gov/ncas/current-activity/2019/03/26/ASUS-Releases-Security-Update-Live-Update-Software
http://malware-log.hatenablog.com/entry/2019/03/26/000000_6


【図表】

f:id:tanigawa:20190326181217p:plain
被害端末の国別比
f:id:tanigawa:20190328062824p:plain
証明書
出典: https://securelist.com/operation-shadowhammer/89992/


【IoC情報】

◆ShadowHammer(IoC (TT Malware Log))
https://ioc.hatenablog.com/entry/2019/03/25/000000

◆ShadowHammer(IoC (TT Malware Log))
https://ioc.hatenablog.com/entry/2019/03/28/000000_3

◆ShadowHammer (IoC (TT Malware Log))
https://ioc.hatenablog.com/entry/2019/04/25/000000_1


【関連まとめ記事】

全体まとめ
 ◆攻撃手法 (まとめ)

◆サプライチェーン攻撃 (まとめ)
https://malware-log.hatenablog.com/entry/Supply_Chain_Attack

【インディケータ情報】

■ハッシュ情報(MD5)

aa15eb28292321b586c27d8401703494

(以上は SecureList(Kaspersky)の情報。 引用元は https://securelist.com/operation-shadowhammer/89992/ )

05e6a0be5ac359c7ff11f4b467ab20fc
0ff067d801f7daeeae842e9fe5f610ea
12a7c3a7d0294bd089a88834cdea6b3b
21abdcff8fb044fca4696646c51e02c5
aa15eb28292321b586c27d8401703494

(以上は AlienVault の情報。 引用元は https://otx.alienvault.com/pulse/5c98e8691ad90055079c6179?utm_medium=InProduct&utm_source=OTX&utm_content=Email&utm_campaign=new_pulse_from_subscribed )


■ハッシュ情報(Sha1)

0595e34841bb3562d2c30a1b22ebf20d31c3be86
2c591802d8741d6aef1a278b9aca06952f035b8f
4a8d9a9ca776aaaefd7f6b3ab385dbcfcbf2dfff
5039ff974a81caf331e24eea0f2b33579b00d854
8e0dfaf40174322396800516b282bf16f62267fa
9f0dbf2ba3b237ff5fd4213b65795595c513e8fa
c6bd8969513b2373eafec9995e31b242753119f2
cd79bdaab6b32e975df99804d19b4efc38abbc2e
df4df416c819feb06e4d206ea1ee4c8d07c694ad
e005c58331eb7db04782fdf9089111979ce1406f
e01c1047001206c52c87b8197d772db2a1d3b7b4
e793c89ecf7ee1207e79421e137280ae1b377171

(以上は AlienVault の情報。 引用元は https://otx.alienvault.com/pulse/5c98e8691ad90055079c6179?utm_medium=InProduct&utm_source=OTX&utm_content=Email&utm_campaign=new_pulse_from_subscribed )


■ハッシュ情報(Sha256)

bebb16193e4b80f4bc053e4fa818aa4e2832885392469cd5b8ace5cec7e4ca19

(以上は SecureList(Kaspersky)の情報。 引用元は https://securelist.com/operation-shadowhammer/89992/ )


■ハッシュ情報(Sha256)

1bb53937fa4cba70f61dc53f85e4e25551bc811bf9821fc47d25de1be9fd286a
682fc8ccfc9316c54f02ae7865eee553ad0211031d4d80bb9c4365fbbc74049a
6aedfef62e7a8ab7b8ab3ff57708a55afa1a2a6765f86d581bc99c738a68fc74
6edc5578d824f42a6dd34664284179060f5595310fcb437a184f1ac0fc4fb1b4
9a72f971944fcb7a143017bc5c6c2db913bbb59f923110198ebd5a78809ea5fc
9acd43af36f2d38077258cb2ace42d6737b43be499367e90037f4605318325f8
a911bec0c307f542990016ed3cb15bae7a61d489278800f111794387f7995e2e
bca9583263f92c55ba191140668d8299ef6b760a1e940bddb0a7580ce68fef82
bebb16193e4b80f4bc053e4fa818aa4e2832885392469cd5b8ace5cec7e4ca19
c299b6dd210ab5779f3abd9d10544f9cae31cd5c6afc92c0fc16c8f43def7596
cfbec77180bd67cceb2e17e64f8a8beec5e8875f47c41936b67a60093e07fcfd

(以上は AlienVault の情報。 引用元は https://otx.alienvault.com/pulse/5c98e8691ad90055079c6179?utm_medium=InProduct&utm_source=OTX&utm_content=Email&utm_campaign=new_pulse_from_subscribed )


■URL

hxxp://liveupdate01.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER365.zip
hxxps://liveupdate01s.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER362.zip
hxxps://liveupdate01s.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER360.zip
hxxps://liveupdate01s.asus[.]com/pub/ASUS/nb/Apps_for_Win8/LiveUpdate/Liveupdate_Test_VER359.zip

(以上は SecureList(Kaspersky)の情報。 引用元は https://securelist.com/operation-shadowhammer/89992/ )

■IPアドレス

141.105.71[.]116

(以上は SecureList(Kaspersky)の情報。 引用元は https://securelist.com/operation-shadowhammer/89992/ )

■FQDN

asushotfix[.]com

(以上は SecureList(Kaspersky)の情報。 引用元は https://securelist.com/operation-shadowhammer/89992/ )


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019