威胁分子正利用0day漏洞对半导体企业发起活跃攻击

在全球技术供应链令人担忧的发展中，老练的威胁行为者发起了一项协调一致的活动，利用关键半导体制造系统中以前未知的漏洞。

这些零日漏洞使攻击者能够渗透到领先芯片制造商的网络，可能会损害价值数百万的知识产权，并威胁到从消费电子到防御系统等行业所必需的生产能力。

这些攻击于 2025 年初开始浮出水面，代表着针对半导体行业的网络行动的重大升级。

由于半导体行业在全球技术和国家安全框架中的战略重要性，半导体行业已成为越来越有吸引力的目标。

这些公司设计和制造的芯片为从智能手机和笔记本电脑到汽车和医疗设备的所有设备提供动力，使其成为寻求经济利益的犯罪企业和追求技术优势的民族国家行为者的重要目标。

这些公司所依赖的复杂全球供应链为坚定的攻击者创造了许多切入点，而生产停机的高成本使他们特别容易受到勒索企图的攻击。

DarkOwl 研究人员发现了一个令人不安的趋势，即工业控制系统 （ICS）、SCADA 环境和芯片制造设备中的零日漏洞正在暗网论坛和私人通信渠道上公开交易。

“我们观察到，专门针对半导体制造设备（尤其是 ASML 光刻系统和基于 ARM 的架构）固件漏洞的讨论显著增加，”DarkOwl 的一位高级威胁研究员指出。

这些漏洞在地下市场上获得了高价，因为它们有可能进行间谍活动和破坏活动。

成功攻击的影响远远超出了目标公司本身。

受损的半导体组件在部署之前可能包含嵌入式恶意固件，从而产生蔓延到整个关键基础设施领域的安全风险。

几家主要的半导体公司已经经历了重大漏洞，包括专有 GPU 设计和员工凭证被盗、勒索软件攻击要求支付数百万美元，以及在地下论坛上泄露敏感的工程文档和固件签名密钥。

感染机制分析

主要感染媒介利用复杂的多阶段攻击链，首先针对制造环境中常用的易受攻击的网络边缘设备的漏洞利用。

最初的入侵通常是通过设备固件更新机制中的内存损坏漏洞发生的。

一旦被利用，攻击者就会部署一个定制开发的有效负载，在逃避标准检测方法的同时建立持久性。

该活动特别令人担忧的一个方面是利用了常用电子设计自动化 （EDA） 工具中的零日漏洞。

该漏洞允许在解析某些文件格式时执行任意代码，如以下简化的概念验证所示：

def trigger_vulnerability(target_file):    with open(target_file, 'rb') as f:        header = f.read(16)    if header[0:4] != b'EDAX':        return False    # Crafting malicious payload    payload = b'A' * 256 + struct.pack('<Q', 0x4141414141414141)    # Overflowing buffer in parser    with open('exploit.edax', 'wb') as f:        f.write(header + payload)    return True

该恶意软件与隐藏在 TOR 网络中的命令和控制服务器建立通信，这使得归因和检测特别具有挑战性。

攻击者展示了对半导体制造工艺的详细了解，这表明他们要么是内幕知识，要么是广泛的侦察。

然后，受感染的系统被用作在整个网络中横向移动的启动板，攻击者专门针对包含知识产权和制造工艺细节的系统。

在一些情况下，攻击者能够在检测到之前保持数月的持续访问，提取数 TB 的专有数据，同时建立后门以供将来利用。

实施严格的供应链安全协议、暗网监控和零信任架构原则对于寻求保护自己免受这些复杂威胁行为者的半导体公司至关重要。

原文来自: cybersecuritynews.com