I ricercatori di sicurezza hanno recentemente scoperto un nuovo attacco UEFI, dove un'immagine del firmware UEFI compromessa conteneva un impianto dannoso. Parte di un framework malware chiamato MosaicRegressor, l'attacco ha compromesso le vittime con legami con la Corea del Nord 2017 e 2019.
Unified Extensible Firmware Interface (UEFI) è una tecnologia che collega il firmware di un computer al suo sistema operativo. Lo scopo di UEFI è eventualmente sostituire il BIOS legacy. La tecnologia viene installata durante la produzione. È anche il primo programma in esecuzione all'avvio di un computer. Sfortunatamente, la tecnologia è diventata un bersaglio di malintenzionati in "attacchi eccezionalmente persistenti,"Come hanno affermato i ricercatori di Kaspersky.
Nuovo malware UEFI trovato in circolazione
Il team di ricerca di Kaspersky ha scoperto un'immagine del firmware UEFI compromessa che conteneva un impianto dannoso. Lo scopo di questo impianto è eseguire malware aggiuntivo sulla macchina mirata. Il firmware dannoso è stato utilizzato negli attacchi in natura. Questo è il secondo caso noto di malware UEFI sfruttato attivamente.
Perché gli aggressori stanno abusando di questa tecnologia? Come risulta, uno dei motivi è la persistenza. "Il firmware UEFI rappresenta un meccanismo perfetto per l'archiviazione persistente del malware,"Afferma Kaspersky.
Gli aggressori sofisticati possono modificare il firmware per far sì che distribuisca codice dannoso che viene eseguito dopo il caricamento del sistema operativo. Poiché in genere viene fornito all'interno della memoria flash SPI fornita con la scheda madre del computer, tale malware impiantato è resistente alla reinstallazione del sistema operativo o alla sostituzione del disco rigido.
Ulteriori informazioni sul Framework dannoso MosaicRegressor
Secondo Kaspersky, componenti del framework MosaicRegressor sono stati scoperti in una sequenza di attacchi mirati contro diplomatici e africani, asiatico, e membri europei di una ONG. La loro attività ha mostrato legami con la Corea del Nord.
"Artefatti di codice in alcuni componenti del framework e sovrapposizioni in C&L'infrastruttura C utilizzata durante la campagna suggerisce che dietro a questi attacchi ci sia un attore di lingua cinese, possibilmente avere connessioni a gruppi utilizzando la backdoor di Winnti,”Dice il rapporto.
I ricercatori di sicurezza ritengono che Winnti appartenga a un gruppo ombrello, il che significa che diverse frazioni criminali più piccole lo usano per identificarsi con esso. L'anno scorso, la backdoor Winnti utilizzava il malware Skip-2.0 per infettare i server Microsoft SQL. La campagna si basava su una vulnerabilità nei server che poteva consentire l'accesso ai dati memorizzati utilizzando una stringa di password magica.
Per quanto riguarda il nuovo malware UEFI, sembra essere una versione personalizzata del bootkit VectorEDK. Il codice del bootkit è trapelato 2015, e da allora è disponibile online. Il malware viene utilizzato per piantare il framework dannoso MosaicRegressor, che è il secondo carico utile. MosaicRegressor è in grado di effettuare spionaggio informatico e raccolta dati, e contiene downloader aggiuntivi che possono eseguire altri file, componenti secondarie.
Insomma
Anche se il malware UEFI è raro, continua ad essere un punto di interesse per APT (avanzata persistente minaccia) attori. Nel frattempo, viene trascurato dai fornitori di sicurezza. Ulteriori informazioni sull'attacco MosaicRegressor sono disponibili in il rapporto originale di Kaspersky.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: