安全研究人員近日報告稱，黑客組織BlackTech在中國台灣通過中間人攻擊（“MITM攻擊”）部署了Plead惡意軟件。該組織被曝利用華碩WebStorage軟件的漏洞來上傳繞過身份驗證的惡意軟件。

根據Eset的安全研究人員的說法，黑客一直在利用華碩的WebStorage軟件在受害者的計算機上安裝後門。其使用的惡意軟件稱為Plead，主要由被稱為BlackTech的黑客組織部署，該組織主要針對亞洲政府和公司。

通常，惡意軟件通過網絡釣魚攻擊進行傳播。然而，這一次研究人員注意到一個名為AsusWSPanel.exe的進程正在激活Plead後門。該程序是華碩雲存儲客戶端WebStorage的合法部分。

研究人員認為，黑客正在使用中間人攻擊。“華碩WebStorage軟件很容易受到此類攻擊，”Eset的Anton Cherepanov說道。“使用HTTP請求並傳輸軟件更新。下載更新並準備執行後，軟件在執行前不會驗證其真實性。因此，如果更新過程被攻擊者截獲，他們就可以推送惡意更新。”

Plead將使用受感染的路由器作為惡意軟件的命令和控制服務器。大多數受到攻擊的組織使用相同品牌的路由器，其管理設置可通過互聯網訪問。

“因此，我們認為路由器級別的MitM攻擊是最可能的情況，”Cherepanov說道。“為了應對這次攻擊，華碩雲已經改進了更新服務器的主機架構，並實施了旨在加強數據保護的安全措施。”

Eset表示另一種可能性是黑客正在使用供應鏈攻擊。這種類型的破壞發生在製造商的供應鏈中，其中安全措施可能不嚴格。然而，研究人員表示，儘管這種載體是可能的，但它的可能性要小得多。

Cherepanov提供了這樣的建議：“對於軟件開發人員來說，不僅要徹底監控他們的環境是否存在可能的入侵，還要在他們的產品中實施適當的更新機制，以抵禦MitM攻擊。”

TechSpot就其對情況的認識與華碩進行了聯繫。該公司發表以下聲明：

“華碩雲首次了解到2019年4月下旬發生的一起事件，當時一位遭受安全問題的客戶與我們取得聯繫。在得知此事件後，華碩雲立即採取行動，通過關閉華碩WebStorage更新服務器並停止來緩解攻擊發布所有華碩WebStorage更新通知，從而有效地阻止攻擊。

“為了應對這次攻擊，華碩雲已經改進了更新服務器的主機架構，並實施了旨在加強數據保護的安全措施。這將防止未來發生類似攻擊。不過，華碩雲強烈建議華碩WebStorage服務的用戶立即運行完整的病毒掃描，以確保您的個人數據的完整性。”