CosmicStrand:高度なファームウェアルートキットにより、長持ちする永続性を実現
ジャカルタ - カスペルスキーの研究者は、被害者のマシンにまだ存在する高度な永続的脅威アクター(APT)によって開発されたルートキットを発見しました。実際、オペレーティングシステムが再起動されたり、Windowsが再インストールされたりすると、長期的には非常に危険になります。
「CosmicStrand」と呼ばれるこのUEFIファームウェアルートキットは、主に中国の個々の個人を攻撃するために使用され、ベトナム、イラン、ロシアではまれにしか使用されません。
UEFI ファームウェアは、ほとんどのハードウェアで重要なコンポーネントです。そのコードは、デバイスの起動、オペレーティングシステムをロードするソフトウェアコンポーネントの起動を担当します。
UEFI ファームウェアが何らかの形で悪意のあるコードを含むように変更されている場合、そのファームウェアはオペレーティング システムの前に起動され、そのアクティビティはオペレーティング システムのセキュリティおよび防御ソリューションから見えなくなる可能性があります。
これと、ファームウェアがハードウェアとは別のチップ上にあるという事実は、オペレーティングシステムが再インストールされた回数に関係なく、マルウェアがデバイスに残るため、UEFIファームウェアに対する攻撃を非常に複雑で永続的にします。
カスペルスキーの研究者によるUEFIファームウェアの最近の発明であるCosmicStrandは、これまで知られていなかった中国語の脅威アクターに関連しています。
攻撃者が追求した最終的な目標はまだ不明ですが、影響を受ける被害者は個々のユーザーであり、企業や組織に属するコンピュータではないことが観察されています。
攻撃されたすべてのマシンはWindowsベースです:コンピュータが再起動されるたびに、Windowsの起動後に少し悪意のあるコードが実行されます。目標は、C2 サーバー (コマンド アンド コントロール) に接続し、追加の悪意のある実行可能ファイルをダウンロードすることです。
研究者らは、ルートキットが感染したマシンにどのようになったのかを特定できませんでしたが、オンラインで見つかった未確認のアカウントは、一部のユーザーがハードウェアコンポーネントをオンラインで注文している間に侵害されたデバイスを受け取ったことを示しています。
CosmicStrandの最も印象的な側面は、UEFIインプラントが2016年後半から無料で使用されていたように見えることです。
「最近発見されたことですが、CosmicStrand UEFIファームウェアルートキットはかなり長い間使用されていたようです。これは、一部の脅威アクターが、2017年以来レーダーの下に置いている非常に洗練された能力を持っていることを示唆しています。一方、彼らがどのような新しいツールを生み出したのか疑問に思っていますが、それはまだ見つかっていないものです」と、カスペルスキーのグローバルリサーチ&アナリシスチーム(GReAT)のシニアセキュリティリサーチャーであるIvan Kwiatkowski氏はコメントしています。
CosmicStrandフレームワークとそのコンポーネントのより詳細な分析は、セキュアリストに掲載されています。
CosmicStrandのような脅威から保護を維持するために、カスペルスキーは以下を推奨しています。
SOC (セキュリティ オペレーション センター) チームに最新の脅威インテリジェンス (IT) へのアクセスを提供します。カスペルスキー脅威インテリジェンスポータルは、IT 部門にとって単一のアクセスポイントであり、カスペルスキーが 20 年以上にわたって収集したサイバー攻撃データと洞察を提供します。EDR ソリューションを展開して、エンドポイントレベルの迅速な検出、調査、インシデント復旧(カスペルスキーエンドポイントの検出と対応など)を実現します。多くの標的型攻撃がフィッシングやその他のソーシャルエンジニアリング技術から始まるため、スタッフに基本的なサイバーセキュリティ衛生トレーニングを提供します。ファームウェアの使用状況を検出できる堅牢なエンドポイントセキュリティ製品(Kaspersky Endpoint Security for Businessなど)を使用しています。UEFI ファームウェアを定期的に更新し、信頼できるベンダーのファームウェアのみを使用してください。