Sikkerhedsforskere opdagede for nylig et nyt UEFI-angreb, hvor et kompromitteret UEFI-firmwarebillede indeholdt et ondsindet implantat. En del af en malware-ramme kaldet MosaicRegressor, angrebet kompromitterede ofre med bånd til Nordkorea mellem 2017 og 2019.
Unified Extensible Firmware Interface (UEFI) er en teknologi, der forbinder en computers firmware til dens operativsystem. Formålet med UEFI er til sidst at erstatte den ældre BIOS. Teknologien installeres under fremstillingen. Det er også det første program, der kører, når en computer startes. Desværre, teknologien er blevet et mål for ondsindede aktører i “usædvanligt vedvarende angreb,”Som forskere fra Kaspersky udtrykte det.
Ny UEFI-malware fundet i naturen
Kaspersky-forskerteamet opdagede et kompromitteret UEFI-firmwarebillede, der indeholdt et ondsindet implantat. Formålet med dette implantat er at køre yderligere malware på målrettet maskine. Den ondsindede firmware blev brugt i angreb i naturen. Dette er det andet kendte tilfælde af aktivt udnyttet UEFI-malware.
Hvorfor misbruger angribere denne teknologi? Da det viser sig,, en af grundene er vedholdenhed. "UEFI-firmware giver en perfekt mekanisme til vedvarende malware-opbevaring,”Siger Kaspersky.
Sofistikerede angribere kan ændre firmwaren for at få den til at implementere ondsindet kode, der kører, efter operativsystemet er indlæst. Da det typisk sendes inden for SPI-flashlagring, der følger med computerens bundkort, sådan implanteret malware er modstandsdygtig over for OS geninstallation eller udskiftning af harddisken.
Mere om MosaicRegressor Malicious Framework
Ifølge Kaspersky, komponenter fra MosaicRegressor-rammen blev opdaget i en række målrettede angreb mod diplomater og afrikaner, asiatisk, og europæiske medlemmer af en ngo. Deres aktivitet viste bånd til Nordkorea.
"Koder artefakter i nogle af rammens komponenter og overlapninger i C&C-infrastruktur, der blev brugt under kampagnen, antyder, at en kinesisk-talende aktør står bag disse angreb, muligvis forbindelser til grupper ved hjælp af Winnti bagdøren,”Hedder det i rapporten.
Sikkerhedsforskere mener, at Winnti tilhører en paraplygruppe, hvilket betyder, at flere mindre kriminelle fraktioner bruger det til at identificere sig med det. Sidste år, Winnti bagdøren brugte Skip-2.0 malware at inficere Microsoft SQL-servere. Kampagnen var afhængig af en sårbarhed på serverne, som kunne give adgang til de lagrede data ved hjælp af en magisk adgangskodestreng.
Hvad angår den nye UEFI-malware, det ser ud til at være en brugerdefineret version af VectorEDK bootkit. Bootkits kode blev lækket ind 2015, og har været tilgængelig online lige siden. Malwaren bruges til at plante MosaicRegressor ondsindede rammer, hvilket er den anden nyttelast. MosaicRegressor er i stand til cyberspionage og dataindsamling, og den indeholder yderligere downloadere, der kan udføre andre, sekundære komponenter.
Afslutningsvis
Selvom UEFI-malware er sjælden, det er fortsat et interessepunkt for APT (avancerede vedvarende trussel) aktører. I mellemtiden, det overses af sikkerhedsleverandører. Flere oplysninger om MosaicRegressor-angrebet findes i den originale Kaspersky-rapport.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: