Mã độc Bootkit mới ‘MosaicRegressor’ tấn công giao diện firmware UEFI


Các nhà nghiên cứu an ninh mạng gần đây đã phát hiện ra một mã độc nguy hiểm đang tấn công vào quá trình khởi tạo của máy tính (booting process) với mục đích duy trì xâm nhập trên hệ thống của nạn nhân.



Chiến dịch này đã lợi dụng một UEFI (Giao diện firmware mở rộng hợp nhất) bị nhiễm độc để tấn công vào hệ thống, khiến đây là lần thứ hai rootkit UEFI bị khai thác trên thực tế.



Theo Kaspersky , các ảnh giả mạo (rogue image) của UEFI firmware đã bị sửa đổi để kết hợp với một loạt module độc hại. Các module này sau đó được sử dụng để cài mã độc trên máy nạn nhân, trong một chiến dịch tấn công nhắm đến các nhà ngoại giao và nhân viên của một tổ chức phi chính phủ đến từ Châu Phi, Châu Á, cho đến Châu Âu.



Các chuyên gia bảo mật Mark Lechtik, Igor Kuznetsov và Yury Parshin của Kaspersky gọi mã độc này là “ MosaicRegressor “, và cho biết một phân tích đo từ xa đã phát hiện hàng chục nạn nhân của nó trong suốt giai đoạn 2017-2019, tất cả đều có mối liên quan nào đó với Triều Tiên.



UEFI là viết tắt của giao diện firmware mở rộng hợp nhất, và là công nghệ thay thế cho BIOS . Nó giúp cải thiện bảo mật và đảm bảo không có mã độc nào can thiệp vào quá trình khởi động của máy tính. Do UEFI đóng vai trò hỗ trợ việc load hệ điều hành, nên nếu bị nhiễm độc nó sẽ cho phép mã độc tồn tại lâu dài trên hệ thống, ngay cả khi cài đặt lại hệ điều hành hay thay ổ cứng.



“UEFI firmware tạo ra một cơ chế hoàn hảo cho việc duy trì các phần mềm độc hại,” Kaspersky cho biết. “Một kẻ tấn công tinh vi có thể sửa đổi firmware, và khiến nó triển khai những dòng code độc hại sau khi hệ điều hành được tải.”



Và đó dường như chính xác là những gì mà kẻ tấn công này đã làm. Mặc dù cho tới hiện tại, các nhà nghiên cứu vẫn chưa biết rõ vectơ lây nhiễm mà kẻ này sử dụng để ghi đè firmware gốc. Nhưng một tài liệu hướng dẫn bị rò rỉ cho thấy mã độc này có thể đã được triển khai thông qua quyền truy cập vật lý vào máy của nạn nhân.



Mã độc UEFI mới này là phiên bản tùy chỉnh của VectorEDK bootkit được Hacking Team phát triển và bị rò rỉ trên mạng vào năm 2015. Nó được sử dụng để cài một payload thứ hai tên là MosaicRegressor – “một modular framework nhiều giai đoạn với mục đích gián điệp và thu thập dữ liệu”, bao gồm các trình tải xuống bổ sung để tìm nạp và thực thi các component thứ cấp.



Trình tải xuống lần lượt liên hệ với máy chủ command-and-control (C2) để lấy các tệp DLL ở giai đoạn tiếp và thực thi các lệnh cụ thể. Kết quả của các lệnh này sau đó sẽ được xuất trở lại máy chủ C2 hoặc chuyển tiếp đến một địa chỉ mail “feedback”, nơi kẻ tấn công sẽ thực hiện thu thập dữ liệu.



Payload được truyền đi theo nhiều cách khác nhau, bao gồm qua các tin nhắn email từ hộp thư (“mail.ru”) được mã hóa cứng trong mã nhị phân của malware.



Trong một số trường hợp, mã độc được gửi đến một số nạn nhân thông qua email lừa đảo spear-phishing có nhúng các tài liệu bẫy (“0612.doc”) được viết bằng tiếng Nga có nội dung thảo luận về các sự kiện liên quan đến Triều Tiên.



Liên quan đến danh tính của kẻ tấn công đằng sau MosaicRegressor, Kaspersky cho biết họ đã tìm thấy nhiều manh mối ở code-level cho thấy chúng được viết bằng tiếng Trung hoặc tiếng Hàn và phát hiện kẻ tấn công đã sử dụng RTF weaponizer Royal Road (8.t) – một công cụ được sử dụng bởi nhiều nhóm tin tặc Trung Quốc trong quá khứ.



Cuối cùng, Kaspersky đã tìm thấy một địa chỉ C2 trong một biến thể của MosaicRegressor và phát hiện nó có liên quan đến một nhóm hacker Trung Quốc khét tiếng với biệt danh là Winnti (hay APT41).



“Những cuộc tấn công trên đã cho thấy tin tặc có thể bất chấp mọi cách để đạt được độ duy trì cao nhất trên hệ thống của nạn nhân,” Kaspersky kết luận.



“Các trường hợp firmware UEFI bị khai thác trên thực tế thường rất hiếm. Đó là do khả năng hiện thị thấp (low visibility) của các cuộc tấn công firmware, các kỹ thuật phức tạp cần có để triển khai tấn công trên SPI flash chip mục tiêu, và rủi ro làm cháy bộ công cụ nhạy cảm khi thực hiện những cuộc tấn công này.”



Theo The Hacker News
The post Mã độc Bootkit mới ‘MosaicRegressor’ tấn công giao diện firmware UEFI appeared first on SecurityDaily .

Top News