Kaspersky の専門家は、UEFI ルートキットの新しい例である CosmicStrand を発見しました。 現在、CosmicStrand キットは個人のみを対象としており、企業は対象としていません。 しかし、その変化は時間の問題です。
Kaspersky の専門家は、OS を再起動したり、Windows を再インストールしたりしても被害者のコンピューターに残る、高度な持続的脅威 (APT) 攻撃者によって開発されたルートキットを発見しました。 UEFI ファームウェアのルートキット「CosmicStrand」は、これまでのところ主に中国の個人への攻撃に使用されており、被害者の一部はベトナム、イラン、ロシアにもありました。
UEFI ルートキットは永続的です
UEFI ファームウェアは、大多数のハードウェアに見られる重要なコンポーネントです。 コードは、デバイスの起動と、オペレーティング システムをロードするソフトウェア コンポーネントの起動を担当します。 攻撃者が悪意のあるコードを UEFI ファームウェアに配置した場合、このコードはオペレーティング システムの前に起動され、セキュリティ ソリューションがその活動を検出できなくなり、オペレーティング システムを保護できなくなる可能性があります。 これに加えて、ファームウェアがハード ドライブとは別のチップに存在するという事実により、UEFI ファームウェアへの攻撃は特に検出が困難になり、非常に持続的になります。 オペレーティング システムを何度再インストールしても、マルウェアはデバイスに留まるからです。
古いコズミックストランドが再発見されました
CosmicStrand は、Kaspersky の専門家による UEFI ファームウェア ルートキットの最新の発見です。 これは、これまで知られていなかった中国語を話す APT アクターによるものです。 攻撃者の実際の標的はまだわかっていませんが、研究者は、ファームウェアは個人のみを標的としており、通常の企業は標的にしていないと指摘しています。 侵害されたコンピュータはすべて Windows ベースでした。コンピュータが再起動されるたびに、Windows の起動後に悪意のあるコードが実行され、その目的は C2 (コマンド アンド コントロール) サーバーに接続し、追加の悪意のある実行可能ファイルを実行して、ダウンロード。
Kaspersky の専門家は、ルートキットが感染したコンピューターにどのように侵入したかをまだ特定できていませんが、オンラインで発見された未確認のアカウントは、一部のユーザーがハードウェア コンポーネントをオンラインで注文したときに、侵害されたデバイスを受け取った可能性があることを示唆しています。 CosmicStrand UEFI インプラントは、UEFI 攻撃が公に説明されるずっと前の 2016 年後半から、ほぼ間違いなく実際に使用されていることに注目することも興味深いことです。
CosmicStrand は 2016 年に登場しました
「CosmicStrand UEFI ファームウェア ルートキットは最近発見されたばかりですが、かなり前から存在していたようです。 これは、一部の脅威アクターが非常に高度な機能を備えていることを示唆しており、ファームウェアが長期間にわたって検出されないようにすることができました. カスペルスキーのグローバル リサーチ アンド アナリシス チームのシニア セキュリティ リサーチャーである Ivan Kwiatkowski は次のように述べています。
詳細は Kaspersky.com をご覧ください
カスペルスキーについて Kaspersky は、1997 年に設立された国際的なサイバーセキュリティ企業です。 Kaspersky の脅威インテリジェンスとセキュリティに関する深い専門知識は、革新的なセキュリティ ソリューションとサービスの基盤として機能し、世界中の企業、重要なインフラストラクチャ、政府、および消費者を保護します。 同社の包括的なセキュリティ ポートフォリオには、最先端のエンドポイント プロテクションと、複雑で進化するサイバー脅威から防御するためのさまざまな専門的なセキュリティ ソリューションとサービスが含まれています。 400 億を超えるユーザーと 250.000 の法人顧客がカスペルスキーのテクノロジーによって保護されています。 カスペルスキーの詳細については、www.kaspersky.com/ をご覧ください。