Çince konuşan bilinmeyen bir tehdit aktörü, adı verilen yeni bir tür karmaşık UEFI üretici yazılımı rootkit’ine atfedildi. kozmik iplik.
Kaspersky araştırmacıları bugün yayınlanan yeni bir raporda, “Kök seti, Gigabyte veya ASUS anakartların ürün yazılımı görüntülerinde bulunur ve tüm bu görüntülerin H81 yonga seti kullanan tasarımlarla ilgili olduğunu fark ettik.” Dedi. “Bu, saldırganların rootkit’lerini üretici yazılımının görüntüsüne enjekte etmesine izin veren ortak bir güvenlik açığı olabileceğini gösteriyor.”
Tespit edilen mağdurların, Çin, Vietnam, İran ve Rusya’da yerleşik, herhangi bir kuruluş veya sektör sektörüyle fark edilebilir bir bağı olmayan özel kişiler olduğu söyleniyor. Çince konuşan bir tehdit aktörüne atıfta bulunulması, CosmicStrand ile MyKings botnet ve MoonBounce gibi diğer kötü amaçlı yazılımlar arasındaki kod çakışmalarından kaynaklanmaktadır.
Kendilerini işletim sisteminin en derin katmanlarına gömebilen kötü amaçlı yazılım implantları olan kök kullanıcı takımları, tehdit ortamında nadir görülen bir durumdan giderek yaygınlaşan bir duruma dönüşerek, tehdit aktörlerini uzun süre boyunca gizlilik ve kalıcılık ile donatıyor.
Araştırmacılar, bu tür kötü amaçlı yazılımların “işletim sistemi yeniden yüklense veya kullanıcı makinenin sabit diskini tamamen değiştirse bile bilgisayarın virüslü durumda kalmasını sağlar” dedi.
Yalnızca 96.84 KB’lık bir dosya olan CosmicStrand, aynı zamanda, bilinen Çin bağlantılı gelişmiş kalıcı tehdit grubu (APT41) tarafından hedeflenen bir casusluk kampanyasının bir parçası olarak konuşlandırılan ve Ocak 2022’de MoonBounce’dan sonra bu yıl keşfedilen ikinci UEFI rootkit türüdür. Winnti olarak.
Bulaşmaların ilk erişim vektörü gizemli bir şey olsa da, ödün verme sonrası eylemler, kod yürütmeyi sistem başlatma sırasında çalıştırılmak üzere tasarlanmış saldırgan kontrollü bir bölüme yönlendirmek için CSMCORE DXE adlı bir sürücüde değişiklikler yapılmasını içerir. Windows içinde bir kötü amaçlı yazılımın dağıtımına.
Başka bir deyişle, saldırının amacı, her başlatıldığında bir Windows makinesine çekirdek düzeyinde bir implant yerleştirmek için işletim sistemi yükleme sürecini kurcalamak ve bu yerleşik erişimi kullanarak, gerçek veriyi almak için uzak bir sunucuya bağlanan kabuk kodunu başlatmaktır. sistemde yürütülecek kötü amaçlı yük.
Sunucudan alınan bir sonraki aşamadaki kötü amaçlı yazılımın tam yapısı henüz belli değil. Bilinen şey, bu yükün “update.bokts” dosyasından alındığıdır.[.]com”, daha sonra yeniden birleştirilen ve kabuk kodu olarak yorumlanan 528 bayt veri içeren bir dizi paket olarak.
gelen “kabuk kodları” [command-and-control] sunucu, saldırgan tarafından sağlanan PE yürütülebilir dosyaları için hazırlayıcılar olabilir ve çok daha fazlasının mevcut olması çok muhtemeldir,” diyen Kaspersky, rootkit’in biri 2016’nın sonu ile 2017’nin ortası arasında kullanılan toplam iki sürümünü bulduğunu da sözlerine ekledi. , ve 2020’de aktif olan en son varyant.
İlginç bir şekilde, 2017’de rootkit’in ilk sürümüne ışık tutan Çinli siber güvenlik satıcısı Qihoo360, kod değişikliklerinin ikinci el bir satıcıdan alınan arka kapılı bir anakartın sonucu olabileceği olasılığını gündeme getirdi.
“En çarpıcı yönü […] Araştırmacılar, bu UEFI implantının 2016’nın sonundan bu yana – UEFI saldırılarının kamuoyuna açıklanmaya başlamasından çok önce – vahşi ortamda kullanıldığı görülüyor” dedi. peki, bugün ne kullanıyorlar?”