Gấu
Moderator
-
15/04/2020
-
10
-
15 bài viết
Phát hiện UEFI Bookit mới tấn công framework MosaicRegressor
UEFI (Unified Extensible Firmware Interface) là một firmware thay thế cho BIOS nhằm cải thiện khả năng bảo mật, đảm bảo không có phần mềm độc hại can thiệp vào quá trình khởi động.
Tuy nhiên, các nhà bảo mật đã phát hiện mã độc được đặt tên là "MosaicRegressor " tấn công vào UEFI, đây là vụ thứ 2 mà mã độc tấn công vào UEFI trong thực tế.
UEFI đã bị mã độc chèn thêm một số đoạn mã độc hại, sau đó khi khởi động máy tính đoạn mã này sẽ tạo ra các mã độc khác trên máy nạn nhân, cách này sử dụng trong một loạt các vụ tấn công có chủ đích nhằm vào các nhà ngoại giao, các thành viên của tổ chức phi chính phủ đến từ Châu Phi, Châu Á và Châu Âu. Hàng chục nạn nhân của nó từ năm 2017 đến năm 2019, đều có quan hệ với Triều Tiên.
Mặc dù kỹ thuật chính xác dùng để ghi đè phần firmware gốc vẫn chưa được xác định, nhưng theo một tài liệu hướng dẫn bị rò rỉ cho thấy mã độc có thể đã khai thác thông qua quyền truy cập vật lý vào máy của nạn nhân.
Mã độc này là phiên bản mới của bootkit VectorEDK, bị rò rỉ từ năm 2015 và vẫn tồn tại cho đến ngày nay. Nó được sử dụng để cài một payload thứ hai, còn gọi là framework MosaicRegressor - có mục đích gián điệp và thu thập dữ liệu", chứa các trình download bổ sung để tìm nạp và thực thi các thành phần thứ cấp.
Mã độc tải xuống sẽ kết nối với máy chủ C&C để tải các tệp DLL cho phần tiếp theo và thực thi các lệnh cụ thể. Kết quả chúng được trả lại máy chủ C&C hoặc chuyển tiếp đến địa chỉ thư "feedback" giúp tin tặc thu thập được dữ liệu.
Payload được chuyển theo nhiều cách khác nhau, thông qua thư điện tử từ hộp thư ("mail.ru") được mã hóa cứng (hard-coded) trong binary của mã độc.
Tuy nhiên, trong một số trường hợp, mã độc đã được gửi đến một số nạn nhân thông qua e-mail lừa đảo trực tuyến, có đính kèm tài liệu giả mạo ("0612.doc") viết bằng tiếng Nga nhằm thảo luận về các sự kiện liên quan đến Triều Tiên.
Cuối cùng, các nhà nghiên cứu tìm thấy một địa chỉ máy chủ C&C nằm trong một biến thể của MosaicRegressor, có liên quan đến nhóm hacker APT41 của Trung Quốc.
Tuy nhiên, các nhà bảo mật đã phát hiện mã độc được đặt tên là "MosaicRegressor " tấn công vào UEFI, đây là vụ thứ 2 mà mã độc tấn công vào UEFI trong thực tế.
UEFI đã bị mã độc chèn thêm một số đoạn mã độc hại, sau đó khi khởi động máy tính đoạn mã này sẽ tạo ra các mã độc khác trên máy nạn nhân, cách này sử dụng trong một loạt các vụ tấn công có chủ đích nhằm vào các nhà ngoại giao, các thành viên của tổ chức phi chính phủ đến từ Châu Phi, Châu Á và Châu Âu. Hàng chục nạn nhân của nó từ năm 2017 đến năm 2019, đều có quan hệ với Triều Tiên.
Mặc dù kỹ thuật chính xác dùng để ghi đè phần firmware gốc vẫn chưa được xác định, nhưng theo một tài liệu hướng dẫn bị rò rỉ cho thấy mã độc có thể đã khai thác thông qua quyền truy cập vật lý vào máy của nạn nhân.
Mã độc này là phiên bản mới của bootkit VectorEDK, bị rò rỉ từ năm 2015 và vẫn tồn tại cho đến ngày nay. Nó được sử dụng để cài một payload thứ hai, còn gọi là framework MosaicRegressor - có mục đích gián điệp và thu thập dữ liệu", chứa các trình download bổ sung để tìm nạp và thực thi các thành phần thứ cấp.
Mã độc tải xuống sẽ kết nối với máy chủ C&C để tải các tệp DLL cho phần tiếp theo và thực thi các lệnh cụ thể. Kết quả chúng được trả lại máy chủ C&C hoặc chuyển tiếp đến địa chỉ thư "feedback" giúp tin tặc thu thập được dữ liệu.
Payload được chuyển theo nhiều cách khác nhau, thông qua thư điện tử từ hộp thư ("mail.ru") được mã hóa cứng (hard-coded) trong binary của mã độc.
Tuy nhiên, trong một số trường hợp, mã độc đã được gửi đến một số nạn nhân thông qua e-mail lừa đảo trực tuyến, có đính kèm tài liệu giả mạo ("0612.doc") viết bằng tiếng Nga nhằm thảo luận về các sự kiện liên quan đến Triều Tiên.
Cuối cùng, các nhà nghiên cứu tìm thấy một địa chỉ máy chủ C&C nằm trong một biến thể của MosaicRegressor, có liên quan đến nhóm hacker APT41 của Trung Quốc.
Theo The Hacker News
Chỉnh sửa lần cuối: