Phát hiện UEFI Bookit mới tấn công framework MosaicRegressor

Gấu

Moderator
15/04/2020
10
15 bài viết
Phát hiện UEFI Bookit mới tấn công framework MosaicRegressor
UEFI (Unified Extensible Firmware Interface) là một firmware thay thế cho BIOS nhằm cải thiện khả năng bảo mật, đảm bảo không có phần mềm độc hại can thiệp vào quá trình khởi động.

Tuy nhiên, các nhà bảo mật đã phát hiện mã độc được đặt tên là "MosaicRegressor " tấn công vào UEFI, đây là vụ thứ 2 mà mã độc tấn công vào UEFI trong thực tế.

uefi-bootkit-malware-jpg.7469

UEFI đã bị mã độc chèn thêm một số đoạn mã độc hại, sau đó khi khởi động máy tính đoạn mã này sẽ tạo ra các mã độc khác trên máy nạn nhân, cách này sử dụng trong một loạt các vụ tấn công có chủ đích nhằm vào các nhà ngoại giao, các thành viên của tổ chức phi chính phủ đến từ Châu Phi, Châu Á và Châu Âu. Hàng chục nạn nhân của nó từ năm 2017 đến năm 2019, đều có quan hệ với Triều Tiên.

Mặc dù kỹ thuật chính xác dùng để ghi đè phần firmware gốc vẫn chưa được xác định, nhưng theo một tài liệu hướng dẫn bị rò rỉ cho thấy mã độc có thể đã khai thác thông qua quyền truy cập vật lý vào máy của nạn nhân.
uefi-bootkit-malware-1-jpg.7470

Mã độc này là phiên bản mới của bootkit VectorEDK, bị rò rỉ từ năm 2015 và vẫn tồn tại cho đến ngày nay. Nó được sử dụng để cài một payload thứ hai, còn gọi là framework MosaicRegressor - có mục đích gián điệp và thu thập dữ liệu", chứa các trình download bổ sung để tìm nạp và thực thi các thành phần thứ cấp.
Mã độc tải xuống sẽ kết nối với máy chủ C&C để tải các tệp DLL cho phần tiếp theo và thực thi các lệnh cụ thể. Kết quả chúng được trả lại máy chủ C&C hoặc chuyển tiếp đến địa chỉ thư "feedback" giúp tin tặc thu thập được dữ liệu.
Payload được chuyển theo nhiều cách khác nhau, thông qua thư điện tử từ hộp thư ("mail.ru") được mã hóa cứng (hard-coded) trong binary của mã độc.
Tuy nhiên, trong một số trường hợp, mã độc đã được gửi đến một số nạn nhân thông qua e-mail lừa đảo trực tuyến, có đính kèm tài liệu giả mạo ("0612.doc") viết bằng tiếng Nga nhằm thảo luận về các sự kiện liên quan đến Triều Tiên.

uefi-firmware-jpg.7473

Cuối cùng, các nhà nghiên cứu tìm thấy một địa chỉ máy chủ C&C nằm trong một biến thể của MosaicRegressor, có liên quan đến nhóm hacker APT41 của Trung Quốc.
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: hanhkhat
Mình thấy nhiều main UEFI thoảng tự nhiên bật không lên, tắt bật vài lần nó kêu revert lại bản firmware cũ. Có khi nào firmware nó tự cập nhật hoặc bị con sâu nào ghi đè firmware mà lỗi không ta?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: Mr.X
Comment
Mình thấy nhiều main UEFI thoảng tự nhiên bật không lên, tắt bật vài lần nó kêu revert lại bản firmware cũ. Có khi nào firmware nó tự cập nhật hoặc bị con sâu nào ghi đè firmware mà lỗi không ta?
Bạn có thể chụp ảnh lại lỗi và đăng lên để anh em cùng phân tính xem nhé.
 
Comment
Mình thấy nhiều main UEFI thoảng tự nhiên bật không lên, tắt bật vài lần nó kêu revert lại bản firmware cũ. Có khi nào firmware nó tự cập nhật hoặc bị con sâu nào ghi đè firmware mà lỗi không ta?
em hóng hình ảnh ^^
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên