Casa > cibernético Notícias > Novo Malware UEFI Parte da Estrutura Maliciosa do MosaicRegressor Avançado
CYBER NEWS

Novo malware UEFI parte da estrutura maliciosa do MosaicRegressor avançado

Pesquisadores de segurança descobriram recentemente um novo ataque UEFI, onde uma imagem de firmware UEFI comprometida continha um implante malicioso. Parte de uma estrutura de malware chamada MosaicRegressor, o ataque comprometeu as vítimas com laços com a Coreia do Norte entre 2017 e 2019.

Unified Extensible Firmware Interface (UEFI) é uma tecnologia que conecta o firmware de um computador ao seu sistema operacional. O objetivo da UEFI é, eventualmente, substituir o BIOS legado. A tecnologia é instalada durante a fabricação. É também o primeiro programa executado quando um computador é iniciado. Infelizmente, a tecnologia tornou-se alvo de agentes maliciosos em “ataques excepcionalmente persistentes,”Como os pesquisadores da Kaspersky colocaram.

Novo malware UEFI encontrado na natureza

A equipe de pesquisa da Kaspersky descobriu uma imagem de firmware UEFI comprometida que continha um implante malicioso. O objetivo deste implante é executar malware adicional na máquina alvo. O firmware malicioso foi usado em ataques à solta. Este é o segundo caso conhecido de malware UEFI explorado ativamente.

Por que os invasores estão abusando dessa tecnologia? Como se vê, uma das razões é persistência. “O firmware UEFI é um mecanismo perfeito de armazenamento persistente de malware,”Kaspersky diz.

Atacantes sofisticados podem modificar o firmware para que ele implante um código malicioso que é executado após o sistema operacional ser carregado. Uma vez que normalmente é enviado dentro do armazenamento flash SPI que vem com a placa-mãe do computador, tal malware implantado é resistente à reinstalação do sistema operacional ou substituição do disco rígido.

Mais sobre a Estrutura Maliciosa do MosaicRegressor

De acordo com a Kaspersky, componentes da estrutura do MosaicRegressor foram descobertos em uma sequência de ataques direcionados contra diplomatas e africanos, Asiática, e membros europeus de uma ONG. A atividade deles mostrou laços com a Coreia do Norte.

Artefatos de código em alguns dos componentes da estrutura e sobreposições em C&A infraestrutura C usada durante a campanha sugere que um ator que fala chinês está por trás desses ataques, possivelmente tendo conexões com grupos usando o backdoor Winnti,”O relatório diz.

Pesquisadores de segurança acreditam que Winnti pertence a um grupo guarda-chuva, o que significa que várias frações criminais menores o usam para se identificar com ele. Ano passado, o backdoor do Winnti estava usando o malware Skip-2.0 para infectar servidores Microsoft SQL. A campanha contou com uma vulnerabilidade nos servidores que poderia permitir o acesso aos dados armazenados usando uma string de senha mágica.

Quanto ao novo malware UEFI, parece ser uma versão personalizada do bootkit VectorEDK. O código do bootkit vazou em 2015, e está disponível online desde então. O malware é usado para plantar a estrutura maliciosa do MosaicRegressor, qual é a segunda carga útil. MosaicRegressor é capaz de espionagem cibernética e coleta de dados, e contém downloaders adicionais que podem executar outros, componentes secundários.

Em conclusão
Mesmo que o malware UEFI seja raro, continua a ser um ponto de interesse da APT (Ameaça persistente avançada) atores. Enquanto isso, está sendo negligenciado por fornecedores de segurança. Mais informações sobre o ataque MosaicRegressor estão disponíveis em o relatório Kaspersky original.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Política de Privacidade.
Concordo