Un actor de amenazas desconocido de habla china ha sido atribuido a un nuevo tipo de interfaz de firmware extensible unificada sofisticada (UEFI) rootkit de firmware llamado hilo cósmico.
“El rootkit se encuentra en las imágenes de firmware de las placas base Gigabyte o ASUS, y notamos que todas estas imágenes están relacionadas con diseños que utilizan el chipset H81”, investigadores de Kaspersky. dijo en un nuevo informe publicado hoy. “Esto sugiere que puede existir una vulnerabilidad común que permitió a los atacantes inyectar su rootkit en la imagen del firmware”.
Se dice que las víctimas identificadas son particulares ubicados en China, Vietnam, Irán y Rusia, sin vínculos perceptibles con ninguna organización o industria vertical.
Los rootkits, que son implantes de malware que son capaces de incrustarse en las capas más profundas del sistema operativo, se han transformado de una rareza a una ocurrencia cada vez más común en el panorama de amenazas, equipando a los actores de amenazas con sigilo y persistencia durante largos períodos de tiempo.
Dichos tipos de malware “garantizan que una computadora permanezca en un estado infectado incluso si el sistema operativo se reinstala o el usuario reemplaza el disco duro de la máquina por completo”, dijeron los investigadores.
CosmicStrand, un archivo de solo 96,84 KB, es también la segunda cepa de rootkit UEFI que se descubre este año después de MoonBounce en enero de 2022, que se implementó como parte de una campaña de espionaje dirigida por el grupo de amenazas persistentes avanzadas vinculado a China (APT41) conocido como Winnti.
Aunque el vector de acceso inicial de las infecciones es algo misterioso, las acciones posteriores al compromiso implican la introducción de cambios en un controlador llamado CSMCORE DXE para redirigir la ejecución del código a una parte del segmento controlado por el atacante diseñado para ejecutarse durante el inicio del sistema, lo que en última instancia conduce al despliegue de un malware dentro de Windows.
En otras palabras, el objetivo del ataque es manipular el proceso de carga del sistema operativo para implementar un implante a nivel de kernel en una máquina con Windows cada vez que se inicia, y usar este acceso arraigado para iniciar el código shell que se conecta a un servidor remoto para obtener el Carga útil maliciosa real que se ejecutará en el sistema.
La naturaleza exacta del malware de siguiente etapa recibido del servidor aún no está clara. Lo que se sabe es que esta carga útil se recupera de “update.bokts[.]com” como una serie de paquetes que contienen datos de 528 bytes que posteriormente se vuelven a ensamblar e interpretar como shellcode.
Los “shellcodes recibidos del [command-and-control] El servidor podría ser un escenario para los ejecutables PE proporcionados por el atacante, y es muy probable que existan muchos más”, señaló Kaspersky, y agregó que encontró un total de dos versiones del rootkit, una que se usó entre finales de 2016 y mediados de 2017 , y la última variante, que estuvo activa en 2020.
Curiosamente, el proveedor chino de ciberseguridad Qihoo360, que arrojó luz sobre la versión anterior del rootkit en 2017, planteó la posibilidad de que las modificaciones del código pudieran haber sido el resultado de una placa base con puerta trasera obtenida de un revendedor de segunda mano.
La atribución de Kaspersky a un actor de amenazas de habla china se deriva de la superposición de códigos entre CosmicStrand y otro malware como el MisReyes (también conocido como smominru y DarkCloud) botnet de criptomonedas y MoonBounce, con el primero caracterizado como un malware “implacable” que presenta una infraestructura extensa que incluye bootkits, mineros de monedas, cuentagotas y ladrones de portapapeles, entre otros.
“El aspecto más llamativo […] es que este implante UEFI parece haber sido utilizado desde fines de 2016, mucho antes de que los ataques UEFI comenzaran a describirse públicamente”, dijeron los investigadores. “Este descubrimiento plantea una pregunta final: si esto es lo que los atacantes estaban usando entonces, ¿qué están usando hoy?”