?Эксперты «Лаборатории Касперского» опубликовали интересный изучать , посвященный вредоносному коду MosaicRegressor. Код предположительно используется киберпреступной группировкой с китайскими корнями; он интересен тем, что содержит модули для заражения компьютера через UEFI. Такие буткиты до сих пор считаются одними из самых сложных типов вредоносного ПО.
В случае успешного заражения они позволяют повторно заразить операционную систему даже после переустановки.
В этом случае было обнаружено несколько образов UEFI с уже встроенным вредоносным кодом.
У этого кода только одна функция: он добавляет содержащийся внутри файл в папку автозагрузки Windows. Дальнейшая атака развивается по типичному сценарию кибершпионажа, с кражей документов и отправкой других данных на серверы управления.
Еще один неожиданный нюанс данного исследования: вредоносный код в UEFI использует источники, ранее ставшие общедоступными в результате взлома инфраструктуры Hacking Team.
В зараженных образах UEFI обнаружено четыре модуля, как показано на скриншоте выше.[1/n] Я рад поделиться важным исследованием, проведенным @2igosha и я.
Мы нашли руткит UEFI, созданный на основе утекшего кода Vector-EDK от Hacking Team. Это будет второй раз, когда мы видим нечто подобное публично.
https://t.co/d4Sj29q3Yp — Марк Лечтик (@_marklech_) 5 октября 2020 г.
Два выполняют сервисные функции, в том числе отвечают за запуск вредоносного кода в нужный момент (непосредственно перед загрузкой операционной системы).
Еще один — драйвер для файловой системы NTFS. Основной вредоносный модуль содержит файл IntelUpdate.exe, который записывается на SSD или жесткий диск в каталоге автозагрузки Windows. 
Два сервисных модуля и драйвер, судя по всему, заимствованы из кода Vector-EDK. Это буткит, исходный код которого стал общедоступным после масштабной утечки данных от компании Hacking Team. Эта организация, разрабатывающая методы атак на компьютерные системы по поручению госорганов, сама была взломана в 2015 году, в результате чего в открытый доступ стали как внутренняя переписка, так и обширная база знаний.
К сожалению, исследователям не удалось определить способ заражения UEFI. Среди нескольких десятков жертв MosaicRegressor только два зараженных компьютера имели модифицированный базовый загрузчик.
Если опираться на ту же утечку от Hacking Team, то она предполагает ручное заражение путем подключения к компьютеру флешки, с которой UEFI загружается «с дополнительной тяжестью».
Нельзя исключать удаленный патч UEFI, но для этого потребуется взломать процесс загрузки и установки обновлений.
Шпионский модуль, установленный на атакованных компьютерах, подключается к командному центру и загружает необходимые для дальнейшей работы модули.
Например, один из механизмов берет недавно открытые документы, архивирует их с паролем и отправляет организаторам.
Еще один интересный момент: для связи используются как традиционные способы связи с серверами управления, так и работа через общедоступную почтовую службу по протоколу POP3S/SMTP/IMAPS. Оба модуля скачиваются, и данные отправляются организаторам атаки по электронной почте.
Что еще произошло
Регистр напоминает об окончании поддержки производителем почтового сервера Microsoft Exchange 2010. Авторы статьи отмечают, что на данный момент из сети доступны 139 тысяч серверов, обновления безопасности для которых скоро прекратятся.Угроза пишет что обнаруженная в январе уязвимость в панели управления Microsoft Exchange (версии 2013–2019) до сих пор не устранена на 61% серверов.
В ПО HP Device Manager для управления тонкими клиентами этой компании обнаруженный бэкдор, а точнее забытый разработчиком сервисный аккаунт. Несмотря на усилия Google, варианты вредоносного ПО Joker продолжать время от времени проходить проверку магазина приложений Google Play. Вредоносное ПО обычно подписывает жертв на платные услуги без их ведома.
Теги: #информационная безопасность #UEFI #mosaicregressor
-
Поиск По Скриншотам Сайта
19 Oct, 24 -
Коммуникатор Для Windows Phone 7
19 Oct, 24
