CPU-ZとHWMonitorがハッキングされ、マルウェア配布に悪用

 (theregister.com)
3 ポイント 投稿者 GN⁺ 18 일 전 | 1件のコメント | WhatsAppで共有
  • 人気のシステムユーティリティ HWMonitor と CPU-Z のダウンロードリンク が一時的に改ざんされ、マルウェアが配布された
  • 攻撃者は CPUID ウェブサイトのバックエンドの一部を掌握 し、正規のインストーラの代わりに悪意あるファイルをランダムに提供した
  • 悪性バージョンには 偽の CRYPTBASE.dll が含まれ、コマンド&コントロールサーバー と通信し、PowerShell を通じてメモリ内で実行される .NET ペイロード を注入した
  • CPUID は侵害の事実を認め、6時間以内に修正完了、署名済みの元ファイルは損なわれていないと発表した
  • 今回の事件は サプライチェーン攻撃の延長線上 にあり、コードを改変しなくても配布経路だけで被害を引き起こせることを示した

CPUID ウェブサイトのハッキングで HWMonitor のダウンロードがマルウェアに差し替え

  • CPUID ウェブサイト が一時的にハッキングされ、HWMonitor と CPU-Z のダウンロードリンクがマルウェア配布経路に改ざんされた
    • 攻撃者はバックエンドの一部を掌握し、正規リンクをランダムに悪性ファイルへ差し替えた
    • 一部のユーザーは、インストーラが アンチウイルス警告を引き起こしたり、異常なファイル名で表示されたりした と報告した
  • HWMonitor 1.63 の更新リンクが「HWiNFO_Monitor_Setup.exe」という誤ったファイルに接続される事例が確認され、上流段階での改ざんが疑われている
    • Reddit などのコミュニティで多くのユーザーが問題を認識し、警告を共有した
  • CPUID はその後 公式に侵害の事実を認め、ソフトウェアのビルド自体ではなく 補助 API(バックエンド構成要素) が約6時間にわたって侵害されていたと説明した
    • 事件は4月9日から10日の間に発生し、現在は修正済み
    • 署名済みの元ファイルは損なわれていないと明記した
  • 悪性インストーラは 64ビット版 HWMonitor のユーザー を対象としており、Windows の構成要素のように見える 偽の CRYPTBASE.dll を含んでいた
    • この DLL は コマンド&コントロール(C2)サーバー に接続して追加のペイロードをダウンロードする
    • マルウェアはディスクに痕跡を残さないために PowerShell を使ってメモリ内で実行 され、被害者システム上で .NET ペイロードをコンパイルした後、別プロセスへ注入する
    • Chrome IElevation COM インターフェース を通じて、ブラウザに保存された認証情報へアクセスする挙動も観測された
  • 分析の結果、今回の攻撃は過去の FileZilla ユーザーを狙ったキャンペーン と同じインフラを活用していたことが確認された
    • vx-underground の分析によれば、同じ攻撃者グループが複数のソフトウェア配布網を悪用した形跡がある
  • CPUID は問題を解決したと述べたが、API へのアクセス経路と感染したユーザー数 はまだ公開されていない
    • 今回の事件は、攻撃者が コード自体を改変しなくても配布経路だけで被害を引き起こせる ことを示す事例として評価されている

関連記事

1件のコメント

 
GN⁺ 18 일 전
Hacker Newsの意見

  • CPU-Zのメンテナー Sam本人が状況を説明している。現在、Franckが不在のためサーバーを点検中で、VirusTotalリンクベースではサーバー上のファイルは正常であることを確認したとのこと。ただし、一部のリンクが改ざんされ、悪意あるインストーラーに接続されており、約6時間(09/04〜10/04 GMT)のあいだ露出していた。現在はリンクを復旧し、追加調査のためサイトを読み取り専用モードに切り替えている

    • 以前CPUレビューを書いていた者として、SamとFranckはどちらも信頼できる人物だと保証する。FranckはCPUIDの中心人物で、SamはCanard PCやMemtestプロジェクトでも知られる友人だ
    • 問題を素早く把握してリンクを修正したのは幸いだった。実際、最初はcpuid.comの広告バナーが原因だと思った。ダウンロードページには「Download Now」「Install for Windows 10/11」のような偽ボタンが多すぎる。だから自分はこういう場面では winget install CPUID.CPU-Z コマンドを好む
    • 最近数週間で、Discordやその他のチャットで可用性通知が悪用され、タイミング攻撃が起きる事例をこれで3回見た
    • 今回の攻撃がどのように行われたのか気になる

  • ダウンロード後にWindows Defenderが即座にウイルスを検知したが、普段から誤検知が多いため無視したという事例。こうした**誤検知(false positive)**には、セキュリティへの警戒心を鈍らせる副作用がある

    • Microsoftにも一部責任があると思う。Defenderが単に「Win32/Keygen」のような理由でクラックファイルをブロックすることで、ユーザーがアンチウイルスを無効化する習慣を身につけてしまう。結果として本物のマルウェアまで通してしまう
    • ソースベース配布や**再現可能ビルド(reproducible builds)**によって、こうした問題を緩和できる
    • こうした状況を防ぐには、信頼できるWindowsアプリストアやパッケージマネージャーが必要だ

  • 新バージョンのソフトウェアをすぐにインストールする人たちを「人間の盾」と呼んで皮肉っている

    • ただしCPU-ZやHWMonitorは、新しいPCをセットアップした後、ハードウェア確認のためすぐ使われることが多い。npmパッケージのように実験的アップデートを試すのではなく、単に最新版を入手しているだけだ
    • ソフトウェアの安全性に関する評判をユーザーに知らせるツールがあればよいのにと思う。CrowdstrikeやSASTツールはインストール後の検知にとどまるためだ
    • しかし、1か月前のバージョンだからといって安全とは限らない。攻撃者は数か月後になって初めて悪意ある挙動を始めることもある

  • 今回影響を受けたのはHWMonitorであり、公式ページのものとHWInfoは別のプログラムだ。Redditでも同じ話題が議論されている

  • インストーラー自体は正常だったが、サイトのリンクが改ざんされてCloudflare R2上の悪意ある実行ファイルへ誘導されていた。今後の原因分析が期待される

    • これはサプライチェーン攻撃というより、**ウォータリングホール(watering hole)**攻撃に近い。開発者であれば、wingetやchocolateyのようなパッケージマネージャーを使うほうが安全だ

  • Windowsユーザーは winget でインストールするほうが比較的有利だ。公式マニフェストで署名検証を行い、winget install --exact --id CPUID.CPU-Z コマンドで安全にインストールできる

    • ただしWinGetが完全な防御策というわけではない。検証手順は浅く、元の配布元がすでに侵害されている場合は悪意ある更新が通ってしまう可能性もある。実質的にはCLI版MajorGeeksレベルだ
    • マニフェストのSHAチェックだけでは改ざんを防ぎにくい。署名検証がどう動作しているのか気になる
    • それでもWingetは徐々に改善している。たとえばImageMagick公式サイトのリンクが壊れていたとき、Wingetでは正常にダウンロードできた
    • パッケージマネージャーのおかげで、最近のNotepad++乗っ取り事件でも被害を減らせた。開発者が自前で配布するなら、PKI管理や署名鍵の分散など、インフラのセキュリティに注意を払う必要がある

  • Winget経由でインストールしたバージョン(v1.63、v2.19)が安全か心配している。GitHubマニフェストWinstallリンクを確認中とのこと

  • 先月FileZillaを攻撃したのと同じグループが今回も関与しているようだ。今回は偽ドメインではなく、公式サイトのAPIレイヤーをハッキングし、正規サイトから悪意あるファイルを配布させた

  • 追加の技術的詳細はvx-undergroundの投稿にまとまっている

  • 今回の攻撃は、技術系ユーザーが信頼するユーティリティを狙った巧妙な試みであり、バイナリそのものではなく、ダウンロードリンクを生成するAPIレイヤーが主要な攻撃対象になっていた