Alguns pesquisadores descobriram uma série de ataques sofisticados direcionados às instituições diplomáticas e algumas ONGs na Ásia, Europa e África. Pelo que sabemos, todas as vítimas estão relacionadas com a Coreia do Norte de uma forma ou de outra, por meio de atividades sem fins lucrativos ou por meio de relações diplomáticas.
Os invasores usaram um modular framework ciberespaço sofisticado que nossos pesquisadores chamaram de MosaicRegressor. Nossa investigação revelou que, em alguns casos, o malware foi introduzido nos computadores das vítimas por meio de UEFIs modificados, um evento muito comum em malware ativo. No entanto, na maioria dos casos, os invasores usam spear-phishing, um método mais convencional.
O que é UEFI e por que o bootkit é perigoso?
O UEFI, assim como o BIOS (que substitui), é um software executado quando o computador é inicializado, antes mesmo do sistema operacional ser iniciado. Além disso, ele não é armazenado no disco rígido, mas em um chip na placa-mãe. Se os cibercriminosos modificarem o código UEFI, pode ser potencialmente usado para entregar malware ao sistema da vítima.
Isso é exatamente o que encontramos na campanha descrita acima. Além disso, ao criar seu firmware UEFI modificado, os invasores usaram o código-fonte do VectorEDK, um bootkit da Hacking Team que vazou online. Embora o código-fonte tenha sido disponibilizado publicamente em 2015, esta é a primeira evidência que encontramos de seu uso por cibercriminosos.
Quando o sistema é iniciado, o bootkit insere o arquivo malicioso IntelUpdate.exe na pasta de inicialização do sistema. O executável baixa e instala outros componentes do MosaicRegressor no computador. Dada a relativa insularidade do UEFI, mesmo se esse arquivo malicioso for detectado, é quase impossível removê-lo. Excluir ou reinstalar o sistema operacional não ajuda. A única maneira de resolver o problema é atualizando a placa-mãe.
Como o MosaicRegressor é perigoso? h2
Os componentes do MosaicRegressor que chegavam aos computadores das vítimas (por meio de um UEFI comprometido ou phishing direcionado) conectados a seus servidores C&C, baixavam módulos adicionais e os executavam. Em seguida, esses módulos foram usados para roubar informações. Por exemplo, um deles enviou documentos recentemente abertos para os cibercriminosos.
Vários mecanismos foram usados para se comunicar com os servidores C&C: a biblioteca cURL (para HTTP / HTTPS), a interface do Background Intelligent Transfer Service (BITS), a interface de programação WinHTTP e serviços de e-mail que usam o protocolo POP3S, SMTPS ou IMAPS .
Nesta publicação do Securelist, você encontrará uma análise técnica mais detalhada do framework malicioso do MosaicRegressor, junto com indicadores de comprometimento.
Como se proteger do MosaicRegressor
Para se proteger contra MosaicRegressor, a primeira ameaça que você deve neutralizar é o spear-phishing, pois é assim que os ataques mais sofisticados começam. Para obter a proteção do computador dos funcionários, recomendamos que use uma combinação de produtos de segurança com tecnologias anti-phishing avançadas e que ofereça treinamento para conscientizar os funcionários sobre ataques desse tipo.
Nossas soluções de segurança detectam módulos maliciosos cuja missão é roubar dados.
Quanto ao firmware comprometido, infelizmente não sabemos como o bootkit conseguiu penetrar nos computadores das vítimas. De acordo com informações do vazamento do Hacking Team, os invasores provavelmente precisaram de acesso físico e usaram uma unidade USB para infectar as máquinas. No entanto, outros métodos de violação de UEFI não podem ser descartados.
Siga estes passos para se proteger contra o bootkit MosaicRegressor UEFI:
- Verifique o site do fabricante do seu computador ou placa-mãe para ver se o seu hardware oferece suporte ao Intel Boot Guard, o que impede a modificação não autorizada do firmware UEFI.
- Use a criptografia de disco completo para evitar que um bootkit instale sua carga maliciosa.
- Use uma solução de segurança confiávelque pode verificar e identificar ameaças desse tipo. Desde 2019, nossos produtos encontraram ameaças ocultas em ROM BIOS e firmware UEFI. Na verdade, nossa tecnologia especializada Firmware Scanner foi a primeira a detectar esse ataque.