Onze onderzoekers ontdekten onlangs een geavanceerde gerichte aanval die gericht was op diplomatieke instellingen en ngo’s in Azië, Europa en Afrika. Voor zover we hebben kunnen zien hadden alle slachtoffers op de een of andere manier connecties met Noord-Korea, of dat nu om non-profit-activiteiten of diplomatieke banden ging.
De aanvallers gebruikten een geavanceerd modulair cyberspy-netwerk dat onze onderzoekers MosaicRegressor hebben genoemd. Ons onderzoek onthulde dat de malware in sommige gevallen de computer van de slachtoffers binnenraakte via gemodificeerde UEFI’s, wat extreem zeldzaam is in het wild. In de meeste gevallen gebruikten de aanvallers echter spear-phishing, een traditionelere methode.
Wat is UEFI en waarom is de bootkit gevaarlijk?
UEFI, net als BIOS (wat het vervangt) is software die meteen bij het opstarten van de computer runt, zelfs voordat het besturingssysteem opgestart wordt. Bovendien staat het niet op de harde schijf opgeslagen, maar op een chip op het moederbord. Als cybercriminelen de UEFI-code modificeren, kunnen ze het mogelijk gebruiken om malware op het systeem van een slachtoffer te krijgen.
Dat is precies wat we ontdekten in de hierboven beschreven campagne. Bovendien gebruikten de aanvallers bij het creëren van hun gemodificeerde UEFI-firmware de broncode van VectorEDK, een bootkit van Hacking Team die online was gelekt. Hoewel de broncode al in 2015 publiekelijk beschikbaar werd, is dit pas het eerste bewijs van het gebruik ervan door cybercriminelen.
Als het systeem opstart, plaatst de bootkit het schadelijke bestand IntelUpdate.exe in de systeemstart-map. Het uitvoerbare bestand downloadt en installeert een andere MosaicRegressor-componenten op de computer. Gezien het relatief insulaire karakter van UEFI is het bijna onmogelijk te verwijderen, zelfs als dit schadelijke bestand wordt gedetecteerd. Het verwijderen of opnieuw installeren van het besturingssysteem helpt niet. De enige manier om het probleem op te lossen is door het moederbord te reflashen.
Hoe is MosaicRegressor gevaarlijk?
MosaicRegressor-componenten die op de computer van het slachtoffer belanden (ofwel via een getroffen UEFI of gerichte phishing) maakten verbinding met hun C&C-servers, downloadden aanvullende modules en voerden deze uit. De modules werden vervolgens gebruikt om informatie te stelen. Een van hen verzond onlangs geopende documenten naar de cybercriminelen.
Er werden verschillende mechanismes gebruikt om met de C&C-servers te communiceren: de cURL-bibliotheek (voor HTTP/HTTPS), de Background Intelligent Transfer Service (BITS) interface, de WinHTTP-programmeringsinterface, en openbare mailservices die gebruikmaken van POP3S, SMTPS of IMAPS protocol.
In deze post op Securelist vindt u een gedetailleerdere technische analyse van het schadelijke MosaicRegressor-framework, evenals de indicators of compromise.
Hoe beschermt u zich tegen MosaicRegressor?
Om uzelf tegen MosaicRegressor te beschermen is de eerste dreiging die geneutraliseerd moet worden het spear-phishing, want zo beginnen de meeste geavanceerde aanvallen. Voor optimale bescherming van de computers van uw werknemers raden we aan om niet alleen beveiligingsproducten met geavanceerde anti-phishing-technologieën te gebruiken, maar om ook training te bieden om bewustzijn te creëren over dit soort aanvallen.
Onze beveiligingsoplossingen detecteren schadelijke modules die bedoeld zijn om gegevens te stelen.
Wat betreft de gecompromitteerde firmware weten we helaas niet precies hoe de bootkit op de computer van de slachtoffers is geraakt. Op basis van de gegevens van het Hacking Team-lek, hadden de aanvallers vermoedelijk fysieke toegang nodig en gebruikten ze een usb-stick om de machines te infecteren. Andere methodes waarbij de UEFI wordt aangetast kunnen echter niet worden uitgesloten.
Om u tegen de MosaicRegressor UEFI-bootkit te beschermen:
- Kijk op de website van de fabrikant van uw computer of moederbord of de hardware Intel Boot Guard ondersteunt, wat de ongeautoriseerde modificatie van UEFI-firmware voorkomt.
- Gebruik full-disk encryptie om te voorkomen dat een bootkit zijn payload installeert.
- Gebruik betrouwbare beveiligingsoplossingendie dit soort dreigingen kunnen scannen en identificeren. Sinds 2019 zijn onze producten in staat geweest om dreigingen die zich verbergen in de ROM BIOS en UEFI-firmware op te sporen. Onze speciale Firmware Scanner-technologie detecteerde deze aanval zelfs in eerste instantie.