Des chercheurs en sécurité ont récemment découvert une nouvelle attaque UEFI, où une image de micrologiciel UEFI compromise contenait un implant malveillant. Partie d'un framework de malware appelé MosaicRegressor, l'attaque a compromis les victimes ayant des liens avec la Corée du Nord entre 2017 et 2019.
Unified Extensible Firmware Interface (UEFI) est une technologie qui connecte le micrologiciel d’un ordinateur à son système d’exploitation. Le but de l'UEFI est de remplacer à terme le BIOS hérité. La technologie est installée lors de la fabrication. C'est également le premier programme en cours d'exécution lorsqu'un ordinateur est démarré. Malheureusement, la technologie est devenue la cible d'acteurs malveillants dans "attaques exceptionnellement persistantes,»Comme l'ont dit les chercheurs de Kaspersky.
Nouveau logiciel malveillant UEFI détecté dans la nature
L'équipe de recherche de Kaspersky a découvert une image de micrologiciel UEFI compromise contenant un implant malveillant. Le but de cet implant est d'exécuter des logiciels malveillants supplémentaires sur la machine ciblée. Le micrologiciel malveillant a été utilisé dans des attaques dans la nature. Il s'agit du deuxième cas connu de malware UEFI activement exploité.
Pourquoi les attaquants abusent-ils de cette technologie? Comme il s'avère, l'une des raisons est la persistance. "Le micrologiciel UEFI constitue un mécanisme parfait de stockage de logiciels malveillants persistants,»Dit Kaspersky.
Les attaquants sophistiqués peuvent modifier le micrologiciel pour qu'il déploie un code malveillant qui s'exécute après le chargement du système d'exploitation. Comme il est généralement livré dans le stockage flash SPI fourni avec la carte mère de l'ordinateur, ce logiciel malveillant implanté résiste à la réinstallation du système d'exploitation ou au remplacement du disque dur.
En savoir plus sur le framework malveillant MosaicRegressor
Selon Kaspersky, des composants du cadre MosaicRegressor ont été découverts lors d'une séquence d'attaques ciblées contre des diplomates et des, asiatique, et membres européens d'une ONG. Leur activité a montré des liens avec la Corée du Nord.
"Artefacts de code dans certains composants du framework et chevauchements en C&L'infrastructure C utilisée pendant la campagne suggère qu'un acteur de langue chinoise est à l'origine de ces attaques, éventuellement avoir des connexions à des groupes en utilisant la porte dérobée Winnti,» Le rapport.
Les chercheurs en sécurité pensent que Winnti appartient à un groupe parapluie, ce qui signifie que plusieurs fractions criminelles plus petites l'utilisent pour s'identifier à lui. L'année dernière, la porte dérobée Winnti utilisait le malware Skip-2.0 pour infecter les serveurs Microsoft SQL. La campagne reposait sur une vulnérabilité dans les serveurs qui pourrait permettre l'accès aux données stockées à l'aide d'une chaîne de mots de passe magique.
Quant au nouveau malware UEFI, il semble être une version personnalisée du kit de démarrage VectorEDK. Le code du bootkit a été divulgué dans 2015, et est disponible en ligne depuis. Le malware est utilisé pour implanter le framework malveillant MosaicRegressor, qui est la deuxième charge utile. MosaicRegressor est capable de cyberespionnage et de collecte de données, et il contient des téléchargeurs supplémentaires qui peuvent exécuter d'autres, composants secondaires.
En conclusion
Même si les logiciels malveillants UEFI sont rares, il continue d'être un point d'intérêt pour APT (Advanced Persistent Threat) acteurs. Pendant ce temps, il est négligé par les fournisseurs de sécurité. Plus d'informations sur l'attaque MosaicRegressor sont disponibles dans le rapport original de Kaspersky.