研究人员发现了至少六年来一直在秘密感染采用华硕和技嘉主板的系统的恶意软件。
根据Bleeping Computer 的一份报告,自 2016 年以来,讲中文的黑客一直在用 CosmicStrand 恶意软件渗透机器。
值得注意的是,一旦恶意代码被分发,它在某些主板的固件映像中基本上未被检测到。这种针对固件映像的特定方法被归类为统一可扩展固件接口 (UEFI) Rootkit。
该菌株被网络安全公司卡巴斯基的研究人员命名为 CosmicStrand。然而,奇虎 360 的分析师最初发现了该恶意软件的早期版本——被称为 Spy Shadow Trojan。
作为参考,UEFI 是一个重要的应用程序,它将操作系统与硬件本身的固件相连接。因此,UEFI 代码是在计算机最初启动时运行的,甚至在系统的任何安全措施之前运行。
因此,放置在 UEFI 固件映像中的恶意软件在规避检测措施方面非常有效。然而,更令人担忧的是,从技术上讲,无法通过重新安装操作系统来删除恶意软件。您甚至无法通过更换存储驱动器来摆脱它。
“该驱动程序被修改,以拦截启动序列并向其引入恶意逻辑,”曾担任卡巴斯基逆向工程师的 Mark Lechtik 说。
卡巴斯基表示,它发现 CosmicStrand UEFI rootkit 是在使用 H81 芯片组的技嘉或华硕主板的固件映像中发现的,该芯片组与 2013 年至 2015 年之间销售的硬件相关。
CosmicStrand 受害者是位于中国、伊朗、越南和俄罗斯境内的个人,因此无法建立与民族国家、组织或行业的联系。也就是说,由于代码模式出现在一个单独的加密僵尸网络中,研究人员证实了 CosmicStrand 与一名说中文的威胁行为者的链接。
卡巴斯基强调 CosmicStrand UEFI 固件 rootkit 可以或多或少地永远保留在受感染的系统上。
UEFI 恶意软件于 2018 年由另一家在线安全公司 ESET 首次报告。它被称为 LoJax,被属于 APT28 组的俄罗斯黑客使用。从那时起,感染系统的基于 UEFI 的 rootkit 的数量稳步增加,其中包括 ESPecter——据说该套件自 2012 年以来一直用于间谍目的。
在其他地方,安全分析师表示,它在今年早些时候以 MoonBounce 的形式检测到了“最先进的”UEFI 固件。
对于参与恶意软件社区的团体和黑客来说,这是忙碌的一年。最近,威胁者已经设法使用 Microsoft Calculator 来分发恶意代码,而 Microsoft 自己发起了一项新计划,为企业提供对其内部安全服务的访问权限。