Accueil > Nouvelles Cyber > Nouveau logiciel malveillant UEFI intégré à Advanced MosaicRegressor Malicious Framework
CYBER NOUVELLES

Nouveau logiciel malveillant UEFI faisant partie du cadre malveillant avancé MosaicRegressor

par   |  Last Update:  |  0 Commentaires  

Des chercheurs en sécurité ont récemment découvert une nouvelle attaque UEFI, où une image de micrologiciel UEFI compromise contenait un implant malveillant. Partie d'un framework de malware appelé MosaicRegressor, l'attaque a compromis les victimes ayant des liens avec la Corée du Nord entre 2017 et 2019.

Unified Extensible Firmware Interface (UEFI) est une technologie qui connecte le micrologiciel d’un ordinateur à son système d’exploitation. Le but de l'UEFI est de remplacer à terme le BIOS hérité. La technologie est installée lors de la fabrication. C'est également le premier programme en cours d'exécution lorsqu'un ordinateur est démarré. Malheureusement, la technologie est devenue la cible d'acteurs malveillants dans "attaques exceptionnellement persistantes,»Comme l'ont dit les chercheurs de Kaspersky.

Nouveau logiciel malveillant UEFI détecté dans la nature

L'équipe de recherche de Kaspersky a découvert une image de micrologiciel UEFI compromise contenant un implant malveillant. Le but de cet implant est d'exécuter des logiciels malveillants supplémentaires sur la machine ciblée. Le micrologiciel malveillant a été utilisé dans des attaques dans la nature. Il s'agit du deuxième cas connu de malware UEFI activement exploité.

Pourquoi les attaquants abusent-ils de cette technologie? Comme il s'avère, l'une des raisons est la persistance. "Le micrologiciel UEFI constitue un mécanisme parfait de stockage de logiciels malveillants persistants,»Dit Kaspersky.

Les attaquants sophistiqués peuvent modifier le micrologiciel pour qu'il déploie un code malveillant qui s'exécute après le chargement du système d'exploitation. Comme il est généralement livré dans le stockage flash SPI fourni avec la carte mère de l'ordinateur, ce logiciel malveillant implanté résiste à la réinstallation du système d'exploitation ou au remplacement du disque dur.

En savoir plus sur le framework malveillant MosaicRegressor

Selon Kaspersky, des composants du cadre MosaicRegressor ont été découverts lors d'une séquence d'attaques ciblées contre des diplomates et des, asiatique, et membres européens d'une ONG. Leur activité a montré des liens avec la Corée du Nord.

"Artefacts de code dans certains composants du framework et chevauchements en C&L'infrastructure C utilisée pendant la campagne suggère qu'un acteur de langue chinoise est à l'origine de ces attaques, éventuellement avoir des connexions à des groupes en utilisant la porte dérobée Winnti,» Le rapport.

Les chercheurs en sécurité pensent que Winnti appartient à un groupe parapluie, ce qui signifie que plusieurs fractions criminelles plus petites l'utilisent pour s'identifier à lui. L'année dernière, la porte dérobée Winnti utilisait le malware Skip-2.0 pour infecter les serveurs Microsoft SQL. La campagne reposait sur une vulnérabilité dans les serveurs qui pourrait permettre l'accès aux données stockées à l'aide d'une chaîne de mots de passe magique.

Quant au nouveau malware UEFI, il semble être une version personnalisée du kit de démarrage VectorEDK. Le code du bootkit a été divulgué dans 2015, et est disponible en ligne depuis. Le malware est utilisé pour implanter le framework malveillant MosaicRegressor, qui est la deuxième charge utile. MosaicRegressor est capable de cyberespionnage et de collecte de données, et il contient des téléchargeurs supplémentaires qui peuvent exécuter d'autres, composants secondaires.

En conclusion
Même si les logiciels malveillants UEFI sont rares, il continue d'être un point d'intérêt pour APT (Advanced Persistent Threat) acteurs. Pendant ce temps, il est négligé par les fournisseurs de sécurité. Plus d'informations sur l'attaque MosaicRegressor sont disponibles dans le rapport original de Kaspersky.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Articles Similaires:
  1. Retirer Winnti Cheval de Troie Qu'est-ce que Winnti? Winnti is the name of a Trojan...
  2. UEFI Ransomware - Comment faire pour supprimer et restaurer des fichiers This article has been created to help you remove Uefi...
  3. HDRoot Bootkit par Winnti Imite groupe Microsoft Commandement Net Les chercheurs de Kaspersky Lab ont récemment publié un rapport, focused...
  4. Logiciel espion FinSpy: Presque impossible à analyser et capable de tout voler Kaspersky’s Secure List researchers just released new findings regarding the...
  5. 23 Vulnérabilités dans le micrologiciel UEFI utilisé par HP, Lenovo (CVE-2021-41837) Au moins 23 new security vulnerabilities were discovered in various...
  6. UEFI Ransomware nous montre quel avenir Crypto-Malware pourrait ressembler Au cours de la RSA 2017 conference a demo was ran of...
  7. UEFI ThinkPwn Lenovo Exploit affecte également HP, Gigabyte Technology? Comment un UEFI patchées (Unified Extensible Firmware Interface) vulnérabilité...
  8. Les vulnérabilités HP permettent aux pirates d'exécuter du code avec les privilèges du noyau (CVE-2021-3808) HP has fixed two high-severity BIOS vulnerabilities in many of...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord