Se ha usado en ataques contra diplomáticos y miembros de ONG

Detectan una campaña de espionaje APT que utiliza un malware inusual en la UEFI

49
Emotet y Trickbot son malwares usados con frecuencia de forma conjunta.

Investigadores de Kaspersky han descubierto una campaña de espionaje APT (Amenaza Persistente Avanzada) que utiliza un tipo de malware poco usual, conocido como bootkit para firmware. El malware desconocido se encontraba en la Interfaz Extensible de Firmware Unificada (UEFI, por sus siglas en inglés).

Según advierte Kaspersky, el firmware UEFI es una parte esencial de cualquier dispositivo y se ejecuta antes que el sistema operativo y de los programas instalados. “Si el firmware UEFI se modifica de alguna manera para que incluya código malicioso, ese código se lanzará antes que el sistema operativo, haciendo su actividad potencialmente invisible para las soluciones de seguridad. Esto, y el hecho de que el propio firmware reside en un chip flash separado del disco duro, hace que los ataques contra la UEFI sean excepcionalmente evasivos y persistentes – la infección del firmware significa esencialmente que, independientemente de cuántas veces se haya reinstalado el sistema operativo, el malware instalado por el bootkit permanecerá en el dispositivo”, explica la compañía.

Espionaje y recopilación de datos

Los investigadores de Kaspersky descubrieron una muestra de este tipo de malware utilizada en una campaña que empleaba variantes de un framework modular complejo desplegado en varias etapas denominado MosaicRegressor. En este sentido, la compañía afirma que el framework se usó para el espionaje y la recopilación de datos, “siendo el malware de la UEFI uno de los métodos de persistencia de este nuevo malware, hasta entonces desconocido”.

“Los componentes del bootkit de la UEFI revelados se basaban en gran medida en el bootkit ‘Vector-EDK’ desarrollado por Hacking Team y cuyo código fuente se filtró online en 2015. Es muy probable que el código filtrado haya permitido a los atacantes construir su propio software con poco esfuerzo de desarrollo y menor riesgo de exposición”.

Asimismo, la empresa de ciberseguridad señala que los ataques se localizaron gracias a su tecnología Firmware Scanner, específicamente desarrollada para detectar las amenazas que se esconden en el ROM BIOS, incluyendo imágenes de firmware UEFI.

Aunque no se pudo identificar el vector de infección exacto que permitió a los atacantes sobrescribir el firmware original de la UEFI, los investigadores de Kaspersky dedujeron que se podrían haber basado en lo que se conoce como el VectorEDK a partir de los documentos filtrados de Hacking Team. “Estos sugieren, sin excluir otras opciones, que las infecciones se hubieran producido a través del acceso físico a la máquina de la víctima, en concreto mediante un USB de arranque, que contendría una utilidad de actualización especial. El firmware parcheado facilitaría entonces la instalación de un descargador de troyanos, un malware que permite descargar cualquier carga útil adecuada para las necesidades del atacante cuando el sistema operativo está en funcionamiento”, apunta la empresa de ciberseguridad.

A pesar de esto, Kaspersky subraya que, en la mayoría de los casos, los componentes de MosaicRegressor llegaron a las víctimas utilizando medidas como el spearphishing, con un dropper oculto en un archivo señuelo. “La estructura de múltiples módulos del framework permitió a los atacantes ocultar un análisis del framework más amplio y desplegar los componentes en las máquinas objetivo a demanda. El malware instalado inicialmente en el dispositivo infectado es un troyano descargador, un programa capaz de descargar carga útil adicional y otro malware”.

Finalmente, Kaspersky revela que, basándose en el perfil de las víctimas, los  investigadores pudieron determinar que MosaicRegressor se utilizó en una serie de ataques dirigidos a diplomáticos y miembros de ONG de África, Asia y Europa. Algunos de los ataques incluían spearphishing en ruso, mientras que otros estaban relacionados con Corea del Norte y se utilizaban como señuelo para descargar malware.

Además, asegura que la campaña no se ha vinculado con fiabilidad a ningún agente de APT conocido.

Ejemplos de documentos malicioso enviados a las víctimas de MosaicRegressor – Kaspersky

“Aunque los ataques UEFI presentan amplias oportunidades para los actores de amenazas, MosaicRegressor es el primer caso conocido en el que un actor de amenazas ha utilizado un firmware UEFI hecho a medida y malicioso ‘in the wild’. Los ataques ‘in the wild’ conocidos anteriormente utilizaban software legítimo (por ejemplo, LoJax), siendo éste el primer ataque ‘in the wild’ que aprovecha un kit de arranque UEFI hecho a medida. Este ataque demuestra que, aunque es raro, en casos excepcionales los actores están dispuestos a hacer grandes esfuerzos para obtener el máximo nivel de persistencia en la máquina de una víctima. Los actores de amenazas siguen diversificando sus herramientas y son cada vez más creativos en cuanto a la forma en que se dirigen a las víctimas, al igual que han de serlo los proveedores de seguridad para adelantarse a los atacantes. Afortunadamente, la combinación de nuestra tecnología y el conocimiento de las campañas actuales y pasadas que aprovechan el firmware infectado nos ayuda a vigilar e informar sobre futuros ataques contra tales objetivos”, ha comentado Mark Lechtik, investigador principal de seguridad del Equipo de Investigación y Análisis Global (GReAT) de Kaspersky.

Por su parte, Igor Kuznetsov, investigador principal de seguridad del equipo GReAT de Kaspersky, ha declarado que “el uso de código fuente de terceros filtrado y su transformación en un nuevo y avanzado malware vuelve a recordar la importancia de la seguridad de los datos. Una vez que se filtra el software, ya sea un bootkit, un malware o cualquier otra cosa, los actores de amenazas obtienen una ventaja significativa. Las herramientas gratuitas disponibles les brindan la oportunidad de avanzar y personalizar sus conjuntos de herramientas con menos esfuerzo y menos posibilidades de ser detectados”.

Artículo
Detectan una campaña de espionaje APT que utiliza un malware inusual en la UEFI
Nombre
Detectan una campaña de espionaje APT que utiliza un malware inusual en la UEFI
Descripcion
Ha sido descubierta por la compañía de ciberseguridad Kaspersky y se ha usado en ataques dirigidos a diplomáticos y miembros de ONG de África, Asia y Europa
Autor
Publico
Escudo Digital
Logo