网络安全研究人员发现了一种罕见的具有潜在危险性的恶意软件,它针对计算机的启动过程来删除持续存在的恶意软件。
该活动涉及使用一个包含恶意植入物的受损UEFI(或统一可扩展固件接口),这是第二个已知的公开案例,其中UEFI Rootkit已被广泛使用。
根据卡巴斯基的说法,这些恶意UEFI固件映像被修改为包含几个恶意模块,然后这些模块被用来在受害者计算机上投放恶意软件,这些模块针对来自非洲、亚洲和欧洲的外交官和非政府组织成员发动了一系列有针对性的网络攻击。
卡巴斯基的研究人员Mark Lechtik,Igor Kuznetsov和Yury Parshin称该恶意软件框架为“ MosaicRegressor ”,一项遥测分析显示,2017年至2019年间有数十名受害者,他们都与朝鲜有一些关系。
UEFI是固件接口,是BIOS的替代品,可提高安全性,确保没有恶意软件篡改引导过程。因为UEFI有助于加载操作系统本身,所以这种感染可以抵抗OS重新安装或更换硬盘驱动器。卡巴斯基说:“ UEFI固件为持久的恶意软件存储提供了一种完美的机制。” “老练的攻击者可以修改固件,以使其部署将在加载操作系统后运行的恶意代码。”
虽然目前还不清楚用于覆盖原始固件的确切感染媒介,但泄露的手册显示,恶意软件可能是通过物理访问受害者的机器进行部署的。
新的UEFI恶意软件是Hacking Team的VectorEDK引导程序的自定义版本,该引导程序于2015年泄露,此后已在线提供。它用于植入第二个有效负载,称为MosaicRegressor——间谍活动和数据收集的多阶段模块化框架,其中包含其他下载程序,以获取并执行辅助组件。
下载者又联系命令和控制(C2)服务器以获取下一级DLL,以执行特定命令,这些命令的结果被导出回C2服务器或转发到“反馈”邮件地址。攻击者可以从中收集聚集的数据。
有效载荷以多种方式传输,包括通过来自硬编码在恶意软件二进制文件中的邮箱的电子邮件(“ mail.ru”)进行传输。
但是,在某些情况下,该恶意软件是通过带有网络钓鱼邮件的电子邮件发送给某些受害者的,这些电子邮件带有嵌入式诱饵文件(“ 0612.doc”),该诱饵文件用俄语编写,旨在讨论与朝鲜有关的事件。
最后,卡巴斯基在MosaicRegressor的一种变体中找到了一个C2地址,这种变体是在与中国黑客团体(通常被称为Winnti,又名APT41)相关的情况下观察到的。
“通常情况下,UEFI固件遭到破坏非常罕见,这通常是由于对固件攻击的可见性低,将其部署在目标的SPI闪存芯片上所需的高级措施以及在敏感工具集或资产烧毁时的高风险这样做。”
稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。
本文由 HackerNews.cc 翻译整理,
转载请注明“转自 HackerNews.cc ” 并附上原文链接。
请登录后发表评论
注册