Un acteur mena\u00e7ant chinois inconnu a \u00e9t\u00e9 attribu\u00e9 \u00e0 un nouveau type de rootkit de micrologiciel UEFI sophistiqu\u00e9 appel\u00e9 CosmicStrand<\/strong>.<\/p>\n “Le rootkit se trouve dans les images de firmware des cartes m\u00e8res Gigabyte ou ASUS, et nous avons remarqu\u00e9 que toutes ces images sont li\u00e9es \u00e0 des conceptions utilisant le chipset H81”, ont d\u00e9clar\u00e9 les chercheurs de Kaspersky. a dit<\/a> dans un nouveau rapport publi\u00e9 aujourd’hui. “Cela sugg\u00e8re qu’une vuln\u00e9rabilit\u00e9 commune peut exister qui a permis aux attaquants d’injecter leur rootkit dans l’image du firmware.”<\/p>\n Les victimes identifi\u00e9es seraient des particuliers situ\u00e9s en Chine, au Vietnam, en Iran et en Russie, sans aucun lien perceptible avec une organisation ou une industrie verticale. L’attribution \u00e0 un acteur malveillant parlant chinois d\u00e9coule de chevauchements de code entre CosmicStrand et d’autres logiciels malveillants tels que le botnet MyKings et MoonBounce.<\/p>\n Les rootkits, qui sont des implants de logiciels malveillants capables de s’int\u00e9grer dans les couches les plus profondes du syst\u00e8me d’exploitation, sont pass\u00e9s d’une raret\u00e9 \u00e0 une occurrence de plus en plus courante dans le paysage des menaces, \u00e9quipant les acteurs de la menace de furtivit\u00e9 et de persistance pendant de longues p\u00e9riodes.<\/p>\n Ces types de logiciels malveillants “garantissent qu’un ordinateur reste dans un \u00e9tat infect\u00e9 m\u00eame si le syst\u00e8me d’exploitation est r\u00e9install\u00e9 ou si l’utilisateur remplace enti\u00e8rement le disque dur de la machine”, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n CosmicStrand, un simple fichier de 96,84 Ko, est \u00e9galement la deuxi\u00e8me souche de rootkit UEFI \u00e0 \u00eatre d\u00e9couverte cette ann\u00e9e apr\u00e8s MoonBounce en janvier 2022, qui a \u00e9t\u00e9 d\u00e9ploy\u00e9 dans le cadre d’une campagne d’espionnage cibl\u00e9e par le groupe de menaces persistantes avanc\u00e9es li\u00e9 \u00e0 la Chine (APT41) connu comme Winnti.<\/p>\n Bien que le vecteur d’acc\u00e8s initial des infections soit un myst\u00e8re, les actions post-compromis impliquent l’introduction de modifications dans un pilote appel\u00e9 CSMCORE DXE pour rediriger l’ex\u00e9cution du code vers un morceau de segment contr\u00f4l\u00e9 par l’attaquant con\u00e7u pour \u00eatre ex\u00e9cut\u00e9 au d\u00e9marrage du syst\u00e8me, conduisant finalement au d\u00e9ploiement d’un malware \u00e0 l’int\u00e9rieur de Windows.<\/p>\n En d’autres termes, le but de l’attaque est de falsifier le processus de chargement du syst\u00e8me d’exploitation pour d\u00e9ployer un implant au niveau du noyau dans une machine Windows \u00e0 chaque d\u00e9marrage, en utilisant cet acc\u00e8s enracin\u00e9 pour lancer un shellcode qui se connecte \u00e0 un serveur distant pour r\u00e9cup\u00e9rer le r\u00e9el charge utile malveillante \u00e0 ex\u00e9cuter sur le syst\u00e8me.<\/p>\n La nature exacte du logiciel malveillant de la prochaine \u00e9tape re\u00e7u du serveur n’est pas encore claire. Ce que l’on sait, c’est que cette charge utile est r\u00e9cup\u00e9r\u00e9e \u00e0 partir de “update.bokts[.]com” comme une s\u00e9rie de paquets contenant 528 octets de donn\u00e9es qui sont ensuite r\u00e9assembl\u00e9s et interpr\u00e9t\u00e9s comme du shellcode.<\/p>\n Les “shellcodes re\u00e7us du [command-and-control] pourrait \u00eatre des interm\u00e9diaires pour les ex\u00e9cutables PE fournis par l’attaquant, et il est tr\u00e8s probable qu’il en existe beaucoup d’autres \u00bb, a not\u00e9 Kaspersky, ajoutant qu’il avait trouv\u00e9 un total de deux versions du rootkit, une qui a \u00e9t\u00e9 utilis\u00e9e entre fin 2016 et mi-2017 , et la derni\u00e8re variante, qui \u00e9tait active en 2020.<\/p>\n Fait int\u00e9ressant, le fournisseur chinois de cybers\u00e9curit\u00e9 Qihoo360, qui a mis en lumi\u00e8re le premi\u00e8re version du rootkit<\/a> en 2017, a \u00e9voqu\u00e9 la possibilit\u00e9 que les modifications du code aient pu \u00eatre le r\u00e9sultat d’une carte m\u00e8re d\u00e9rob\u00e9e obtenue aupr\u00e8s d’un revendeur d’occasion.<\/p>\n “L’aspect le plus frappant […] est que cet implant UEFI semble avoir \u00e9t\u00e9 utilis\u00e9 dans la nature depuis la fin de 2016 – bien avant que les attaques UEFI ne commencent \u00e0 \u00eatre d\u00e9crites publiquement”, ont d\u00e9clar\u00e9 les chercheurs. “Cette d\u00e9couverte soul\u00e8ve une derni\u00e8re question\u00a0: si c’est ce que les attaquants utilisaient en retour alors, qu’est-ce qu’ils utilisent aujourd’hui ?”<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/Une-nouvelle-etude-revele-que-la-plupart-des-fournisseurs-dentreprise.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1658766692_296_Des-experts-decouvrent-le-nouveau-rootkit-de-micrologiciel-UEFI-CosmicStrand.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1656663365_395_Amazon-corrige-discretement-la-vulnerabilite-de-gravite-elevee-dans-lapplication.jpg\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1658766692_122_Des-experts-decouvrent-le-nouveau-rootkit-de-micrologiciel-UEFI-CosmicStrand.jpg\")
<\/div>\n