Kaspersky は、新しいファームウェア ブートキットを発見しました。 これは、ハッキング チームのツールキットに基づいています。 すでにヨーロッパ、アフリカ、アジアの外交官や NGO のメンバーに対する攻撃に使用されています。
Kaspersky の研究者は、ファームウェア ブートキットを使用した Advanced Persistent Threat (APT) スパイ キャンペーンを発見しました。 このマルウェアは、未知の脅威も検出できる Kaspersky の UEFI/BIOS スキャン テクノロジによって検出されました。 スキャン テクノロジは、今日のすべての最新のコンピューティング デバイスに不可欠な部分である Unified Extensible Firmware Interface (UEFI) で、これまで未知であったマルウェアを特定したため、感染したデバイスを検出してマルウェアを削除することが非常に困難になりました。 このマルウェアの UEFI ブートキットは、2015 年にリークされたハッキング チームのブートキットのカスタマイズ バージョンです。
UEFI ファームウェアに悪意のあるコードが含まれている可能性があります
UEFI ファームウェアは、オペレーティング システムとそれにインストールされているすべてのプログラムの前で実行されるコンピューターの重要な部分です。 UEFI ファームウェアに悪意のあるコードが含まれている場合、このコードはオペレーティング システムの前に開始され、セキュリティ ソリューションによって検出されない可能性があります。 このため、またファームウェアがハード ドライブとは別のフラッシュ チップに存在するため、UEFI に対する攻撃は非常に持続的であり、除去するのは困難です。 ファームウェアに感染するということは、基本的に、オペレーティング システムを何度再インストールしても、ブートキットに含まれるマルウェアがデバイスに残ることを意味します。
Kaspersky の研究者は、MosaicRegressor と呼ばれる複雑で多層的なモジュラー フレームワークの亜種を展開するキャンペーンの一環として、このような UEFI マルウェアを発見しました。 このフレームワークは、スパイ活動とデータ収集に使用されており、UEFI マルウェアはシステムに自身を固定する方法の一部です。
Vector EDK ブートキットがテンプレートとして機能
UEFI ブートキット コンポーネントは、2015 年にソース コードが流出した Hacking Team によって開発された「Vector-EDK」ブートキットに大きく基づいています。 これにより、攻撃者はほとんど開発作業と検出リスクを伴わずに独自のソフトウェアを作成できた可能性があります。
この攻撃は、2019 年初頭からカスペルスキー製品に含まれているファームウェア スキャナーを使用して発見されました。 このテクノロジは、UEFI ファームウェア イメージを含む ROM-BIOS に隠れている脅威を検出するように特別に設計されています。
感染経路不明
攻撃者が元の UEFI ファームウェアを上書きすることを可能にした正確な感染経路を特定することはできませんでしたが、Kaspersky の研究者は、流出したハッキング チームの文書からの VectorEDK に関する情報に基づいて、これがどのように行われたかを推測することができました。 可能性の XNUMX つは、被害者のコンピュータへの物理的なアクセスを通じて感染が可能であったことです。 これは、特別な更新ユーティリティを含む起動可能な USB スティックを使用して発生した可能性があります。 パッチが適用されたファームウェアにより、トロイの木馬のダウンローダがインストールされる可能性があります。 攻撃者に適したプレイロードを可能にするマルウェアは、オペレーティング システムの実行中にダウンロードする必要があります。
ただし、ほとんどの場合、MosaicRegressor コンポーネントは、おとりファイルを含むアーカイブにドロッパーを隠すスピア フィッシングなど、それほど高度ではない手段を使用して被害者に配信されました。 フレームワークのマルチモジュール構造により、攻撃者はより広範なフレームワークを分析から隠し、必要な場合にのみ標的のコンピューターにコンポーネントを展開することができました。 感染したデバイスに最初にインストールされたマルウェアは、トロイの木馬ダウンローダーです。 これは、追加のペイロードやその他のマルウェアをロードするために使用できるプログラムです。 ペイロードに応じて、マルウェアは任意の URL との間で任意のファイルをダウンロードまたはアップロードし、ターゲット コンピューターから情報を収集できます。
攻撃者は外交官や NGO を標的にしています
MosaicRegressor は、アフリカ、アジア、ヨーロッパの外交官や NGO のメンバーに対する一連の標的型攻撃で使用されてきました。 攻撃の中には、ロシア語のスピア フィッシング ドキュメントが含まれていたものもあれば、北朝鮮に関連し、マルウェアをダウンロードするための餌として使用されたものもありました。
このキャンペーンは、既知の APT アクターに確実に割り当てることができませんでした。
「UEFI 攻撃は脅威アクターにとって大きなチャンスとなりますが、MosaicRegressor は、悪意のあるカスタム UEFI ファームウェアを実際に使用する脅威アクターの最初の公に知られている事例です」カスペルスキー。 「これまでに知られている攻撃では、LoJax などの正当なソフトウェアが転用され、再利用されていました。 これは、カスタムビルドの UEFI ブート キットを使用した最初の攻撃です。 この攻撃は、まれではありますが、例外的に、アクターが被害者のデバイスに可能な限り長くとどまるために多大な努力を惜しまないことを示しています。 攻撃者は常にツールセットを多様化し、被害者を標的にする方法をより創造的にしています。セキュリティ ベンダーは、サイバー犯罪者の一歩先を行くために同じことを行う必要があります。 私たちの技術と、感染したファームウェアが関与する現在および過去のキャンペーンの理解を組み合わせることで、そのような標的に対する将来の攻撃を監視し、報告することができます。」
脅威アクターには明らかな優位性があります
Kaspersky's GReAT のセキュリティ研究者である Igor Kuznetsov 氏は、次のように付け加えています。 「ブートキット、マルウェア、その他のソフトウェアが流出すると、攻撃者は明らかに優位に立つことができます。 無料で利用できるツールにより、ツールセットを進化させてカスタマイズする機会が得られるため、少ない労力で認識される可能性が低くなります。」
詳細は Kaspersky.de を参照
カスペルスキーについて Kaspersky は、1997 年に設立された国際的なサイバーセキュリティ企業です。 Kaspersky の脅威インテリジェンスとセキュリティに関する深い専門知識は、革新的なセキュリティ ソリューションとサービスの基盤として機能し、世界中の企業、重要なインフラストラクチャ、政府、および消費者を保護します。 同社の包括的なセキュリティ ポートフォリオには、最先端のエンドポイント プロテクションと、複雑で進化するサイバー脅威から防御するためのさまざまな専門的なセキュリティ ソリューションとサービスが含まれています。 400 億を超えるユーザーと 250.000 の法人顧客がカスペルスキーのテクノロジーによって保護されています。 カスペルスキーの詳細については、www.kaspersky.com/ をご覧ください。