Beveiligingsonderzoekers hebben onlangs een nieuwe UEFI-aanval ontdekt, waar een gecompromitteerd UEFI-firmwarebeeld een kwaadaardig implantaat bevatte. Onderdeel van een malwareframework genaamd MosaicRegressor, de aanval bracht slachtoffers in gevaar met daartussen banden met Noord-Korea 2017 en 2019.
Unified Extensible Firmware Interface (UEFI) is een technologie die de firmware van een computer verbindt met het besturingssysteem. Het doel van UEFI is om uiteindelijk het oude BIOS te vervangen. De technologie wordt tijdens de fabricage geïnstalleerd. Het is ook het eerste programma dat wordt uitgevoerd wanneer een computer wordt opgestart. Helaas, de technologie is een doelwit geworden van kwaadwillende actoren in "uitzonderlijk aanhoudende aanvallen,”Zoals Kaspersky-onderzoekers het uitdrukten.
Nieuwe UEFI-malware gevonden in het wild
Het onderzoeksteam van Kaspersky ontdekte een gecompromitteerd UEFI-firmwarebeeld met een kwaadaardig implantaat. Het doel van dit implantaat is om extra malware op een gerichte machine uit te voeren. De kwaadaardige firmware werd gebruikt bij aanvallen in het wild. Dit is het tweede bekende geval van actief uitgebuite UEFI-malware.
Waarom maken aanvallers misbruik van deze technologie?? Zoals het blijkt, een van de redenen is volharding. "UEFI-firmware zorgt voor een perfect mechanisme voor aanhoudende malware-opslag,”Zegt Kaspersky.
Geavanceerde aanvallers kunnen de firmware aanpassen zodat deze schadelijke code implementeert die wordt uitgevoerd nadat het besturingssysteem is geladen. Omdat het meestal wordt verzonden in SPI-flashopslag die wordt meegeleverd met het moederbord van de computer, dergelijke geïmplanteerde malware is bestand tegen herinstallatie van het besturingssysteem of vervanging van de harde schijf.
Meer over het MosaicRegressor Malicious Framework
Volgens Kaspersky, componenten uit het MosaicRegressor-framework werden ontdekt in een reeks gerichte aanvallen op diplomaten en Afrikanen, Aziatisch, en Europese leden van een ngo. Hun activiteit toonde banden met Noord-Korea.
"Codeer artefacten in enkele van de componenten van het framework en overlappingen in C&De C-infrastructuur die tijdens de campagne werd gebruikt, suggereert dat een Chineessprekende actor achter deze aanvallen zit, mogelijk verbindingen hebben met groepen die de Winnti-achterdeur gebruiken,”Zegt het rapport.
Beveiligingsonderzoekers denken dat Winnti tot een overkoepelende groep behoort, wat betekent dat verschillende kleinere criminele fracties het gebruiken om zich ermee te identificeren. Vorig jaar, de achterdeur van Winnti gebruikte de Skip-2.0-malware om Microsoft SQL-servers te infecteren. De campagne was gebaseerd op een kwetsbaarheid in de servers die toegang tot de opgeslagen gegevens mogelijk maakte met behulp van een magische wachtwoordreeks.
Wat betreft de nieuwe UEFI-malware, het lijkt een aangepaste versie van de VectorEDK-bootkit te zijn. De code van de bootkit is gelekt 2015, en is sindsdien online beschikbaar. De malware wordt gebruikt om het schadelijke raamwerk MosaicRegressor te planten, dat is de tweede payload. MosaicRegressor is in staat tot cyberspionage en dataverzameling, en het bevat extra downloaders die andere kunnen uitvoeren, secundaire componenten.
Tenslotte
Ook al is UEFI-malware zeldzaam, het blijft een aandachtspunt voor APT (advanced persistent threat) acteurs. In de tussentijd, het wordt over het hoofd gezien door beveiligingsleveranciers. Meer informatie over de MosaicRegressor-aanval is beschikbaar in het originele Kaspersky-rapport.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: