# CVE-2025-59374 - Comprometimento de Supply Chain no ASUS Live Update > [!critical] CVSS 9.8 - CISA KEV - Supply Chain Attack > Comprometimento da cadeia de suprimentos de software da ASUS: versões maliciosas do Live Update foram distribuídas com assinatura digital legítima, afetando potencialmente mais de 1 milhão de dispositivos. Operação "ShadowHammer" atribuída ao grupo Lazarus. Adicionado ao CISA KEV em 2025. ## Visão Geral A CVE-2025-59374 documenta um dos ataques de supply chain de software mais sofisticados já registrados — a "Operação ShadowHammer" — onde agentes de ameaça comprometeram os servidores de atualização da ASUS e distribuíram versões do ASUS Live Update contendo backdoor, assinadas com certificados digitais legítimos da ASUS. O software malicioso foi distribuído pelos canais oficiais de atualização da ASUS entre meados de 2018 e início de 2019. A particularidade técnica desta operação é notável: o malware verificava o endereço MAC de cada dispositivo infectado contra uma lista codificada de aproximadamente 600 alvos específicos. Apenas nos alvos de interesse a payload final era ativada — nos demais dispositivos, o backdoor permanecia dormente, dificultando a detecção. Esta técnica de "targeting cirúrgico" via supply chain massiva — comprometer milhões para atingir centenas — reflete a sofisticação operacional de grupos patrocinados por estados-nação. A Kaspersky Lab foi a primeira a identificar e reportar a operação em março de 2019, estimando que mais de 1 milhão de dispositivos ASUS foram infectados com o backdoor. A ASUS confirmou o comprometimento e lançou versões limpas. A adição ao CISA KEV em 2025 reflete nova evidência de exploração ativa ou uso da mesma infraestrutura/técnica em campanhas recentes, possívelmente relacionadas a campanhas renovadas do [[g0032-lazarus-group|Lazarus Group]] contra alvos tecnológicos. ## Produtos Afetados | Produto | Versões Comprometidas | Status | |---------|----------------------|--------| | ASUS Live Update | Versões distribuídas via servidor oficial ASUS (2018-2019) | Substituídas | | ASUS Live Update | v3.6.8.0 (identificada como comprometida) | Não usar | | ASUS Live Update | Versões limpas pós-abril de 2019 | Seguras após verificação | **Nota:** Dispositivos que receberam a atualização comprometida entre meados de 2018 e março de 2019 podem ainda ter o backdoor instalado se não foram reimaginados. ## Detalhes Técnicos **Mecanismo de comprometimento:** O backdoor foi inserido nos binários do ASUS Live Update antes da assinatura digital. Os binários maliciosos carregavam assinaturas ASUS legítimas, bypassando verificações de integridade baseadas em assinatura de código. **Seleção de alvos:** ``` Pseudo-código do backdoor: 1. Coletar endereços MAC das interfaces de rede do dispositivo 2. Calcular MD5/hash dos endereços MAC 3. Comparar contra lista hardcoded de ~600 hashes alvo 4. Se alvo: baixar payload secundária do C2 5. Se não alvo: permanecer dormente (sem atividade visível) ``` **Infraestrutura C2:** - Domínios de C2 disfarçados como domínios ASUS legítimos - Comúnicação HTTPS para evasão de inspeção de tráfego - Payload secundária varia por alvo (espionagem, exfiltração) **TTPs utilizadas:** - [[t1195-002-compromise-software-supply-chain|T1195.002 - Comprometimento da cadeia de suprimentos de software]] - [[t1553-002-code-signing|T1553.002 - Code Signing]] - abuso de certificado legítimo ASUS - Seleção de alvos via fingerprinting de hardware (endereço MAC) ## Mitigação **Para dispositivos potencialmente afetados:** - Verificar se o ASUS Live Update instalado entre jun/2018 e mar/2019 corresponde a versões comprometidas conhecidas (checar hash dos binários) - Se versão comprometida confirmada: realizar formatação completa e reinstalação do OS - Rotacionar todas as credenciais que possam ter sido exfiltradas do dispositivo **Controles preventivos contra ataques de supply chain:** - Implementar verificação de integridade de software além de assinatura digital ([[m1045-code-signing|M1045]]) - Usar soluções de EDR que detectem comportamentos pós-comprometimento ([[m1040-behavior-prevention-on-endpoint|M1040]]) - Aplicar princípio de menor privilégio para software de atualização ([[m1026-privileged-account-management|M1026]]) - Monitorar tráfego de rede de softwares de atualização para domínios não esperados - Implementar inventário e controle de integridade de binários instalados **Detecção:** - Verificar presença de binários com hash correspondente às versões comprometidas - Monitorar comunicação de rede do ASUS Live Update para domínios suspeitos - Auditar logs de rede para contato com domínios C2 identificados na Operação ShadowHammer ## Contexto LATAM > [!latam] Impacto no Brasil e América Latina > O Brasil é um dos maiores mercados de notebooks e PCs ASUS na América Latina. A operação ShadowHammer, embora focada em alvos específicos de alto valor (empresas de tecnologia, defesa, telecomúnicações), instalou seu backdoor em dispositivos em todo o mundo, incluindo Brasil. Empresas brasileiras de tecnologia, telecom e defesa com notebooks ASUS adquiridos no período 2018-2019 devem verificar se foram alvo. Mais importante: a técnica de supply chain via software de atualização demonstrou viabilidade para ataques contra a cadeia industrial brasileira. O setor de tecnologia brasileiro, que depende amplamente de hardware asiático, deve implementar verificação de integridade de supply chain como prática padrão. O **Lazarus Group** tem histórico de operações no Brasil, particularmente contra o setor financeiro. ## Referências - [NVD - CVE-2025-59374](https://nvd.nist.gov/vuln/detail/CVE-2025-59374) - [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Kaspersky - Operation ShadowHammer](https://securelist.com/operation-shadowhammer-a-high-profile-supply-chain-attack/90380/) - [ASUS Security Advisory](https://www.asus.com/news/puxb2kryto5f6ydj/) ## Notas Relacionadas - [[g0032-lazarus-group|Lazarus Group]] - grupo atribuído à Operação ShadowHammer - [[t1195-002-compromise-software-supply-chain|T1195.002 - Compromise Software Supply Chain]] - [[t1195-supply-chain-compromise|T1195 - Supply Chain Compromise]] - [[t1553-002-code-signing|T1553.002 - Code Signing]] - abuso de certificado legítimo - [[m1045-code-signing|M1045 - Code Signing]] - [[m1040-behavior-prevention-on-endpoint|M1040 - Behavior Prevention on Endpoint]] - [[technology|Setor - Tecnologia]] - [[government|Setor - Governo]] - [[defense|Setor - Defesa]]