Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

В материнских платах Gigabyte и Asus обнаружен загадочный UEFI-руткит

27/07/22

hack119-4

Исследователи из Лаборатории Касперского обнаружили новую версию UEFI -руткита под названием CosmicStrand, который связан с неизвестной китайской группировкой. Впервые вредонос был обнаружен китайской компанией Qihoo360 в 2017 году, пишет Securitylab.

Специалистам не удалось определить первоначальный вектор атаки, но анализ вредоносного кода показал, что руткит находится в образах прошивок материнских плат Gigabyte и Asus , использующих чипсет H81 и долго оставался незамеченным.

Согласно отчету , опубликованному экспертами, цель вредоноса – вмешаться в процесс загрузки ОС и установить имплант в ядре Windows , который будет загружаться каждый раз вместе с запуском ОС. После этого в память внедряется шеллкод, соединяющийся с C&C-сервером для получения и запуска вредоносной полезной нагрузки на устройстве жертвы.

Вредонос получает полезную нагрузку в несколько шагов:

  • Отправляется специально созданный UDP или TCP пакет на C&C-сервер (update.bokts[.]com);
  • C&C-сервер отвечает, отправляя на устройство жертвы один или несколько пакетов, содержащие 528 байт данных;
  • После этого пакеты с данными собираются в правильной последовательности и попают в пространство ядра.

Исследователям удалось выяснить, что от руткита пострадали граждане Китая, Вьетнама, Ирана и России, никак не связанные с какой-либо частной или правительственной организацией. Кроме этого, код CosmicStrand частично совпадает с кодом ботнета MyKings и UEFI-имплантом MoonBounce, из-за чего руткит приписывают китайским разработчикам.

Темы:материнские платыAsusУгрозыЛК

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...