セキュリティアナリストのチームが、ハッカーが使用する危険な新しい武器を発見しました。これは、ユーザーに対して使用される最初の種類のLojaxUEFIルートキットです。. それについて収集された情報は、それがヨーロッパの有名なターゲットに対してSednitハッキンググループによって実行されていることを示しています.
ヨーロッパのターゲットに対して使用されるLojaxUEFIルートキット
犯罪者が使用する別の危険な武器が進行中の攻撃で発見されました. その背後にあるグループは セドニットコレクティブ 中央および東ヨーロッパの企業および個人に対してキャンペーンを開始したハッカーの数. 主なペイロードはLojaxと呼ばれます (LoJackとしても知られています) これはUEFIルートキットです, 最も危険な種類のマルウェアの1つ.
定義上、これは起動操作の制御に使用されるUEFIコードに感染する悪意のあるコードです。. それらを検出して防止することは非常に困難です, これの危険な影響は、それらの多くがオペレーティングシステムの再インストールや物理的なディスクの交換にさえ耐えることができるという事実です.
脅威の原因の1つは、ロージャックのトロイの木馬化されたサンプルであるようです。, 正当な開発者によって開発された盗難防止ソフトウェア. ホストコンピュータを監視し、インシデントを通知するように設計されています. これはUEFI/BIOSモジュールとして実装され、ソリューションは手動のユーザーアクティベーションを待つ多くのコンピューターのファームウェアにプリインストールされています。.
LojaxUEFIルートキットの悪意のあるサンプルは5月に最初に検出されました 2018 正当なサーバーではなく、悪意のあるサーバーと通信した. 最初のキャンペーンは主にバルカン半島を対象とした, 東ヨーロッパおよび中央ヨーロッパの国々. この時点で、ハッカーは正当なソリューションのトロイの木馬派生物を作成したことが判明しました.
この問題をさらに調査すると、いくつかの要素が感染の一部であることが明らかになりました:
- SedUploader —感染の原因となる第1段階のバックドア.
- XAgent —これは主な悪意のあるエンジンである主なバックドアコードです.
- Xtunnel —C間のネットワークトラフィックを中継できるネットワークトンネル&Cサーバーと感染したホスト.
実際には、Lojax UEFIルートキットにより、ハッカーは侵害されたコンピューターに低レベルでアクセスできます。これは重大な脆弱性です。. この脅威に感染すると、オペレーティングシステムが起動して安全手順が開始される前に、マルウェアが配信および実行される可能性があります。.
ユーザーは、セキュアブートオプションを有効にすることで自分自身を防ぐことができます. 有効になっている場合、ブートプロセスの各ファームウェアコンポーネント部分に署名して検証する必要があります. これは、LojaxUEFIルートキット感染の可能性に対する推奨される基本防御です。. また、マザーボードベンダーからの最新のパッチを監視して適用することをお勧めします。.
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください: