卡巴斯基研究人员发现了一种使用高级可持续性威胁(APT)进行的网络间谍行动,该行动使用了一种非常罕见的被称为固件bootkit的恶意软件。这种恶意软件是通过卡巴斯基的UEFI / BIOS扫描技术检测到的,该技术可以检测已知和未知的威胁。这项检测技术在统一可扩展固件接口(UEFI)中发现了一个之前未知的恶意软件,UEFI是所有现代计算机设备的重要组成部分,这使得受感染设备中的恶意软件很难被检测和清除。与恶意软件一起使用的UEFI bootkit是Hacking Team bootkit的自定义版本,于2015年被泄露。
UEFI固件是计算机的重要组成部分,在操作系统和所有安装在计算机中的程序运行之前就开始运行。如果UEFI固件以某种方式被修改为包含恶意代码,该代码将在操作系统之前启动,使其活动可能无法被安全解决方案察觉。这一点,以及固件本身驻留在独立于硬盘驱动器的闪存芯片上的事实,使得针对UEFI的攻击变得非常具有隐蔽性和持久性——固件感染意味着,无论操作系统被重新安装多少次,由bootkit植入的恶意软件都会驻留在设备上。
卡巴斯基研究人员发现了这种恶意软件的一个样本,被用在一起攻击行动中,用来部署一种被称为MosaicRegressor的复杂的多阶段模块架构变种。该框架被用于间谍活动和数据收集,UEFI恶意软件是这种新的、之前未知的恶意软件的持久性方法之一。
新发现的 UEFI bootkit 组件很大程度上是基于Hacking Team开发的 "Vector-EDK "bootkit,该bootkit的源代码于2015年被泄露到网上。泄露的代码有可能让作案者以极少的开发精力构建自己的软件,降低了暴露的风险。
这些攻击是通过固件扫描器的帮助发现的,该功能自2019年初开始就已经包含在卡巴斯基产品中。这项技术是为了专门检测隐藏在ROM BIOS,包括UEFI固件镜像中的威胁而开发的。
虽然无法检测到允许攻击者覆盖原始UEFI固件的确切感染媒介,但卡巴斯基研究人员根据泄露的黑客团队文件中关于VectorEDK的已知信息,推断出了一种可能的感染方式。这些文件表明,在不排除其他选项的情况下,感染可能是通过物理访问受害者的机器造成的,特别是通过使用一个可启动的USB密钥,因为其中可能包含特殊的更新工具。打过补丁的固件将有助于安装木马下载器——当操作系统启动并运行时,能够下载任何适合攻击者需求的有效载荷的恶意软件。
大多数情况下,MosaicRegressor 组件是使用不太复杂的手段传播给受害者的,例如通过一个隐藏在文档中的释放器和诱饵文件,利用鱼叉式钓鱼攻击传播给用户。该框架的多模块结构使攻击者能够隐藏更广泛的框架,使其不被分析,并仅根据需求将组件部署到目标机器上。最初安装在受感染设备上的恶意软件是一个木马下载器,该程序能够下载额外的有效载荷和其他恶意软件。根据下载的有效载荷,恶意软件可以从/向任意URL下载或上传任意文件,并收集目标机器的信息。
根据发现的受害者的隶属关系,研究人员能够确定MosaicRegressor被用来对位于非洲、亚洲和欧洲的外交官和非政府组织成员进行一系列针对性攻击。有些攻击使用了用俄语书写的鱼叉式钓鱼文档,还有有些与朝鲜有关,并被用作下载恶意软件的诱饵。
无法确定这次的攻击行动与任何已知的高级持续威胁行为者相关联。
“UEFI 攻击为威胁行为者提供了广泛的机会,MosaicRegressor 是威胁行为者在野外使用定制的恶意UEFI固件的收个公开已知案例。之前在野外观察到的攻击只是简单地重新利用合法软件(例如LoJax),因此这是第一个在野外利用定制的UEFI bootkit进行的攻击。这次攻击表明,尽管很少,但在特殊情况下,攻击者愿意不惜一切代价在受害者的机器上获得最高级别的持久性。这些威胁行为者继续使他们的工具集多样化,并在针对受害者的攻击方式上变得越来越有创意——安全供应商也应该如此,以确保领先于这些犯罪者。值得庆幸的是,我们的技术与对当前和过去利用受感染固件的攻击活动的了解相结合,有助于我们监控和报告未来针对这些目标的攻击,”卡巴斯基全球研究和分析团队(GReAT)高级安全研究员 Mark Lechtik 评论说。
“使用泄露的第三方源代码并将其定制成一种新的高级恶意软件,再次提醒人们数据安全的重要性。一旦软件源码被泄露,无论是bootkit、恶意软件或其他软件,威胁行为者都会获得巨大优势。免费提供的工具为他们提供了一个机会,以较少的努力和较低的检测机会来升级和定制他们的工具集,”卡巴斯基GReAT 首席安全研究员 Igor Kuznetsov 评论说。
为了确保不受诸如MosaicRegressor等威胁的危害,卡巴斯基建议:
· 为您的 SOC 团队提供对最新威胁情报(TI)的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点,提供卡巴斯基超过20年来收集的网络攻击数据以及见解。
· 为了实现端点级别的检测和及时的调查和修复,请部署EDR解决方案,例如卡巴斯基端点检测和相应。
· 为您的员工提供基础网络安全卫生培训,因为很多针对性攻击都是从钓鱼攻击或其他社交工程手段开始的。
· 使用一款能够检测固件安全的端点安全解决方案,例如卡巴斯基网络安全解决方案。
· 定期更新 UEFI 固件,并且仅从受信任的供应商那里购买固件。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球250,000家企业客户保护最重要的东西。
