俄罗斯Sednit APT第一个UEFI rootkit代码攻击

  • A+
所属分类:网络安全新闻

由俄罗斯相关的Sednit集团(又名FancyBear,APT28,PawnStorm,SofacyGroup和STRONTIUM)用于针对巴尔干地区政府实体的针对性攻击以及在中欧和东欧。

作为LoJax跟踪的恶意代码被认为是在野外攻击中使用的第一个UEFIrootkit。

俄罗斯Sednit APT第一个UEFI rootkit代码攻击

安全专家长期以来一直在争论UEFIrootkit是非常危险的恶意软件,这些恶意软件难以检测,并且可能会抵制重置操作系统甚至更换硬盘。

发现第一个野外UEFIrootkit的原因有两个。”阅读CESAFE发布的分析。

首先,它表明UEFIrootkit是一个真正的威胁,而不仅仅是一个有吸引力的会议主题。

其次,它可以作为一个单挑,特别是对所有可能在Sednit的十字准线上的人。这个APT小组,也被称为APT28,STRONTIUM,Sofacy和FancyBear,可能比以前认为的更危险。

SednitAPT小组自2007年以来一直活跃,并且针对全球的政府,军队和安全组织。该小组还参与了针对2016年总统选举的一系列攻击。

这一发现标志着该集团发展的一个里程碑,它代表了其攻击复杂性的升级,该集团的网络能力可能比以前认为的更加危险。

LoJaxUEFIrootkit借用了防盗软件LoJack的一部分代码。

用于笔记本电脑的LoJack是一种旨在捕获计算机窃贼的安全软件,但它可能在理论上被滥用来监视设备的合法所有者。

LoJack可用于查找被盗笔记本电脑,锁定或擦除其内容,对于希望对其资产实施额外保护的企业来说,这是一个宝贵的应用程序。

今年早些时候,来自ArborNetworks的专家发现了几个被发现连接到服务器的LoJack代理商,这些服务器被认为是由臭名昭着的俄罗斯联系的FancyBearAPT集团控制的。

ASERT最近发现了包含恶意C2的Lojack代理。这些被劫持的特工指向疑似花式熊(又名APT28,PawnStorm)域名。读取Netscout发布的报告。

ASERT确定了五个Lojack代理(rpcnetp.exe)指向4个不同的可疑域名。FancyBear过去曾与三个领域挂钩。

专家发现的五个LoJack代理商指向了四个C&C服务器,其中三个与FancyBearAPT小组过去的活动有关。

LoJax展示了类似rootkit的功能,它作为UEFI/BIOS模块实现,可以在重新安装操作系统和更换硬盘驱动器后继续使用。

由于该软件的目的是保护系统免遭盗窃,因此重要的是它要抵制操作系统重新安装或更换硬盘驱动器。”报告继续说道。

因此,它被实现为UEFI/BIOS模块,能够在这些事件中存活下来。该解决方案预先安装在由各种OEM制造的大量笔记本电脑的固件中,等待其所有者激活。

来自CESAFE的研究人员透露,APT小组在将恶意UEFI模块写入系统的SPI闪存时至少成功了一次。

该模块被滥用以在引导过程中丢弃并执行磁盘上的恶意代码。删除恶意软件的唯一方法是重新刷新UEFI固件

此外,清理系统的UEFI固件意味着重新刷新它,这种操作并不常见,当然也不是典型的用户。

由于对代码的分析以及命令和控制基础设施的识别,专家将这些攻击与Sednit黑客联系起来。

如上所述,一些LoJax小代理C&C服务器过去曾被SedUploader使用,SedUploader是Sedn​​it运营商常规使用的第一阶段后门。此外,在LoJax妥协的情况下,其他Sednit工具的痕迹也从未遥远。报告总结道。

事实上,LoJax所针对的系统通常也会显示出这三个Sednit恶意软件的例子:

SedUploader,一个第一阶段的后门
XAgent,Sednit的旗舰后门
Xtunnel,一种网络代理工具,可以在Internet上的C&C服务器和本地网络内的端点计算机之间中继任何类型的网络流量

  • 服务器购买微信群
  • 阿里云&腾讯云&国外VPS
  • weinxin
  • 服务器购买QQ群
  • 阿里云&腾讯云&国外VPS
  • weinxin
CE安全网

发表评论

您必须登录才能发表评论!