Connect with us

Technologie

MosaicRegressor APT campagne utilisant variante de logiciels malveillants rares

Published

on


Les chercheurs en cybersécurité du géant du secteur Kaspersky ont mis en garde contre une campagne avancée de menace persistante (APT), baptisée MosaicRegressor, qui utilise une variété rarement vue de logiciels malveillants connus sous le nom de bootkit de firmware pour établir la persistance sur les ordinateurs cibles.

Le malware a été utilisé dans des attaques ciblées – décrites comme un cadre modulaire complexe et en plusieurs étapes utilisé pour l’espionnage et l’exfiltration de données – destiné aux diplomates et aux membres du personnel des organisations non gouvernementales (ONG) d’Afrique, d’Asie et d’Europe. Alors que Kaspersky a posé un lien avec la Corée du Nord ou la Russie, la campagne ne peut pas encore être liée à la confiance à des acteurs connus.

Identifié par les scanners de Kaspersky, le malware a été trouvé caché dans l’interface de firmware extensible unifiée (UEFI) de son ordinateur cible, ce qui le rend particulièrement dangereux.

C’est parce que l’UEFI est une partie essentielle d’une machine qui commence à fonctionner avant le système d’exploitation réel (OS) sur le démarrage, ce qui signifie que si son firmware peut être modifié pour contenir du code malveillant, dit code sera également lancé avant le système d’exploitation, ce qui le rend potentiellement invisible à toutes les solutions de sécurité installées.

En outre, le fait que le firmware UEFI réside sur une puce flash séparée du disque dur rend les attaques contre elle très évasive et persistante parce que indépendamment du nombre de fois que le système d’exploitation est réinstallé, le malware restera sur l’appareil.

« Bien que les attaques UEFI présentent de grandes opportunités pour les acteurs de la menace, MosaicRegressor est le premier cas connu du public où un acteur de menace a utilisé un firmware UEFI fait sur mesure et malveillant à l’état sauvage », a déclaré Mark Lechtik, chercheur principal en sécurité de Kaspersky Global Research and Analysis Team (GReAT).

« es attaques précédemment connues observées dans la nature simplement réutilisé logiciel légitime (par exemple, LoJax), ce qui en fait le premier dans l’attaque sauvage en tirant parti d’un bootkit UEFI sur mesure.

« Cette attaque démontre que, bien que rarement, dans des cas exceptionnels, les acteurs sont prêts à faire de grands efforts pour obtenir le plus haut niveau de persistance sur la machine d’une victime. Les acteurs de la menace continuent de diversifier leurs outils et de devenir de plus en plus créatifs avec la façon dont ils ciblent les victimes – tout comme les fournisseurs de sécurité, pour rester en avance sur les auteurs.

« Heureusement, la combinaison de notre technologie et de la compréhension des campagnes actuelles et passées qui utilisent le firmware infecté nous aide à surveiller et à rendre compte des attaques futures contre de telles cibles », a-t-il déclaré.

Kaspersky a déclaré que les composants de bootkit personnalisés se sont avérés être basés sur le bootkit VectorEDK développé par Hacking Team, qui a fui il ya cinq ans. Kaspersky a dit qu’il soupçonnait les acteurs derrière la campagne MosaicRegressor ont été en mesure d’utiliser le code divulgué pour construire leur propre logiciel assez facilement.

« L’utilisation de code source tiers divulgué et sa personnalisation dans un nouveau logiciel malveillant avancé soulève une fois de plus un autre rappel de l’importance de la sécurité des données. Une fois que le logiciel – qu’il s’agit d’un bootkit, d’un logiciel malveillant ou autre chose – est divulgué, les acteurs de la menace obtiennent un avantage significatif », a déclaré Igor Kuznetsov, chercheur principal en sécurité chez GReAT.

« Les outils disponibles librement leur donnent l’occasion d’avancer et de personnaliser leurs outils avec moins d’efforts et moins de chances d’être détectés », a-t-il dit.

Kaspersky a dit qu’il n’avait pas détecté le vecteur d’infection exacte qui a permis au groupe de remplacer le firmware UEFI d’origine, mais sur la base de ce qu’il savait déjà sur VectorEDK, a suggéré que les infections peuvent avoir été possibles avec l’accès physique à la machine cible, en particulier avec une clé USB bootable contenant un utilitaire de mise à jour qui serait patch le firmware pour le faire installer un téléchargeur de Troie.

Un scénario alternatif et plus probable est que les composants MosaicRegressor ont été livrés à l’aide de la livraison spearphishing d’un dropper malware caché dans une archive, à côté d’un fichier leurre.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Trending