MosaicRegressor: nuevo malware UEFI Bootkit que está activo en la naturaleza – Masterhacks Blog

MosaicRegressor: nuevo malware UEFI Bootkit que está activo en la naturaleza

Investigadores de seguridad cibernética detectaron un tipo poco común de malware potencialmente peligroso, que se dirige al proceso de arranque de una máquina para eliminar el malware persistente.

La campaña implicó el uso de una UEFI comprometida (Interfaz de Firmware Extensible Unificada), que contenía un implante malicioso, convirtiéndolo en el segundo caso público conocido en el que se ha utilizado un rootkit UEFI en la naturaleza.

Según Kaspersky, las imágenes de firmware UEFI maliciosas, se modificaron para incorporar varios módulos maliciosos, que luego se utilizaron para lanzar malware en las máquinas víctimas en una serie de ataques cibernéticos dirigidos contra diplomáticos y miembros de una ONG en África, Asia y Europa.

Los investigadores de Kaspersky, Mark Lechtik, Igor Kuznetsov y Yury Parshin, llamaron al marco de malware MosaicRegressor, y aseguran que un análisis de telemetría reveló varias docenas de víctimas entre 2017 y 2019, todas con algunos vínculos con Corea del Norte.

UEFI es una interfaz de firmware y un reemplazo de BIOS que mejora la seguridad, asegurando que ningún malware haya alterado el proceso de arranque. Debido a que UEFI facilita la carga del sistema operativo en sí, las infecciones son resistentes a la reinstalación del sistema operativo o al reemplazo del disco duro.

«El firmware UEFI es un mecanismo perfecto de almacenamiento de malware persistente. Un atacante sofisticado puede modificar el firmware para que implemente código malicioso que se ejecutará luego de que se cargue el sistema operativo», dijo Kaspersky.

Eso es exactamente lo que parece haber hecho el actor de amenazas. Aunque el vector de infección exacto empleado para sobrescribir el firmware original sigue siendo desconocido en esta etapa, un manual filtrado sugiere que el malware puede haberse implementado a través del acceso físico a la máquina de la víctima.

El nuevo malware UEFI es una versión personalizada del bootkit VectorEDK del grupo de hackers, que se filtró en 2015 y desde entonces está disponible en línea.

Se utiliza para plantar una segunda carga útil, llamada MosaicRegressor, «un marco modular y de múltiples etapas destinado al espionaje y la recopilación de datos que consiste en descargadores adicionales para buscar y ejecutar componentes secundarios».

Los descargadores, a su vez, contactan al servidor de comando y control (C2) para obtener los archivos DLL de la siguiente etapa con el fin de ejecutar comandos específicos, cuyos resultados se exportan al servidor C2 o se reenvían a una dirección de correo de «comentarios» desde donde los atacantes pueden recopilar los datos acumulados.

Las cargas útiles se transfieren de distintas formas, incluso a través de mensajes de correo electrónico desde buzones de correo («mail.ru») codificados en el binario del malware.

Sin embargo, en algunos casos el malware se entregó a algunas de las víctimas por medio de correos electrónicos de spear-phishing con documentos señuelo incrustados («0612.doc») escritos en ruso, que pretendían discutir eventos relacionados con NorCorea.

Kaspersky dijo que encontró múltiples pistas a nivel de código que indican que estaban escritas en chino o coreano y señaló el uso del armador RTF Royal Road (8.t), que se ha vinculado a múltiples grupos de amenazas chinos en el pasado.

Finalmente, Kaspersky encontró una dirección C2 en una de las variantes de MosaicRegressor, que se ha observado en relación con grupos de hackers chinos ampliamente conocidos como Winnti o APT41.

«Los ataques demuestran lo mucho que puede llegar un actor para obtener el mayor nivel de persistencia en una máquina víctima. Es muy poco común ver un firmware UEFI comprometido en la naturaleza, generalmente debido a la baja visibilidad de los ataques al firmware, las medidas avanzadas necesarias para implementarlo en el chip flash SPI de un objetivo y las altas apuestas de quemar herramientas o activos sensibles cuando lo hacen», dijo Kaspersky.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *