雅加达 - 卡巴斯基研究人员发现,由高级持续性威胁行为者(APT)开发的rootkit仍在受害者的机器上。实际上,如果重新启动操作系统或重新安装Windows,从长远来看,这将使它变得非常危险。
这款UEFI固件rootkit被称为“CosmicStrand”,主要用于攻击中国的个体,越南,伊朗和俄罗斯的情况很少见。
UEFI 固件是大多数硬件中的重要组件。其代码负责启动设备,启动加载操作系统的软件组件。
如果以某种方式或以其他方式修改了 UEFI 固件以包含恶意代码,它将在操作系统之前启动,使其活动可能对操作系统的安全和防御解决方案不可见。
这一点以及固件与硬件位于不同芯片上的事实使得对UEFI固件的攻击非常复杂和持久,因为无论重新安装操作系统的次数如何,恶意软件都将保留在设备上。
CosmicStrand是卡巴斯基研究人员最近发明的UEFI固件,与以前未知的中文威胁行为者有关。
虽然攻击者追求的最终目标仍然未知,但观察到受影响的受害者是个人用户,而不是属于公司或组织的计算机。
所有受攻击的计算机都是基于Windows的:每次重新启动计算机时,Windows启动后都会执行一些恶意代码。目标是连接到 C2 服务器(命令和控制)并下载其他恶意可执行文件。
研究人员无法确定rootkit是如何最终出现在受感染的机器上的,但在线发现的未经证实的帐户显示,一些用户在在线订购硬件组件时收到了受感染的设备。
CosmicStrand最引人注目的方面是,UEFI植入物似乎自2016年底以来一直在免费使用,远在UEFI攻击开始被公开描述之前。
“虽然它是最近发现的,但CosmicStrand UEFI固件rootkit似乎已经使用了很长一段时间。这表明,一些威胁行为者具有高度复杂的能力,自2017年以来,他们已经设法将其置于雷达之下。我们想知道他们创造了什么新工具,同时,这是我们还没有发现的,“卡巴斯基全球研究与分析团队(GReAT)的高级安全研究员Ivan Kwiatkowski评论道。
对CosmicStrand框架及其组件的更详细的分析在安全列表中提供。
为了抵御CosmicStrand等威胁,卡巴斯基建议:
让您的 SOC(安全运营中心)团队能够访问最新的威胁情报 (IT)。卡巴斯基威胁情报门户是 IT 的单一接入点,提供卡巴斯基 20 多年来收集的网络攻击数据和见解。 部署 EDR 解决方案,实现端点级快速检测、调查和事件恢复,例如卡巴斯基端点检测和响应。 为您的员工提供基本的网络安全卫生培训,因为许多针对性攻击都是从网络钓鱼或其他社交工程技术开始的。 它使用强大的端点安全产品,可以检测固件使用情况,例如卡巴斯基网络安全解决方案 - 企业版。 定期更新 UEFI 固件,并仅使用来自受信任供应商的固件。The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
