MosaicRegressor lädt Malware über das UEFI-Bootkit herunter

Cyberkriminelle nutzen ein ausgeklügeltes und bösartiges Framework, das unter anderem geleakte Tools von Hacking Team verwendet.

Vor kurzem haben unsere Forscher einen ausgeklügelten gezielten Angriff entdeckt, der Diplomaten und NGOs in Afrika, Asien und Europa im Visier hat.  Nach unseren derzeitigen Analysen standen alle Opfer in irgendeiner Weise (durch gemeinnützige Hilfe oder diplomatische Beziehungen) mit Nordkorea in Verbindung.

Die Angreifer nutzten ein ausgefeiltes, modulares Cyberspionage-Framework, das unsere Forscher als MosaicRegressor tauften. Unseren Untersuchungen zufolge gelang die Malware in einigen Fällen durch modifizierte UEFIs in die Rechner der Opfer, was sonst eigentlich eher extrem selten ist. In den meisten Fällen nutzten die Angreifer die traditionellere Angriffsmethode des Spear-Phishings.

Was ist UEFI und wieso ist das Bootkit gefährlich?

UEFI ist der Nachfolger von BIOS und ist daher eine Software, die beim Hochfahren des Rechners gestartet wird, noch bevor das Betriebssystem ausgeführt wird. Übrigens wird das UEFI nicht auf der Festplatte gespeichert, sondern auf einem Chip, der im Motherboard integriert ist. Sollten Cyberkriminelle den UEFI-Code modifizieren, können sie ihn zur potenziellen Einschleusung von Malware im System des Opfers verwenden.

Wir haben genau dieses Angriffsschema bei den erwähnten Angriffen entdeckt. Darüber hinaus nutzten die Angreifer den VectorEDK-Quellcode, um ihre eigene modifizierte UEFI-Firmware zu erstellen. Bei diesem Quellcode handelt es sich um ein Bootkit von Hacking Team, das online geleakt wurde. Und obwohl der Quellcode bereits 2015 öffentlich zugänglich wurde, sehen wir es zum ersten Mal bei einem cyberkriminellen Angriff.

Beim Systemstart hinterlegt das Bootkit die bösartige Datei IntelUpdate.exe im Systemstartordner. Die ausführbare Datei lädt und installiert dann eine weitere Komponente von MosaicRegressor auf dem Computer. Auch wenn die bösartige UEFI-Datei entdeckt wird, ist es angesichts der relativen Unantastbarkeit von UEFI fast unmöglich, sie zu entfernen. Sowohl die Löschung der Malware als auch die Neuinstallation des Betriebssystems sind nutzlos. Die einzige Lösung besteht darin, das Motherboard neu zu flashen.

Wie gefährlich ist MosaicRegressor?

Die Komponenten von MosaicRegressor, die entweder durch ein kompromittiertes UEFI oder gezieltes Phishing in das System der Opfer eingeschleust wurden, verbinden sich mit ihren C&C-Servern und laden zusätzliche Module herunter, die sie danach ausführen, um Informationen zu stehlen. Einer dieser Module sendet dem Angreifer z. B. die kürzlich geöffneten Dokumente des Opfers.

Verschiedene Mechanismen wurden zur Kommunikation mit dem C&C-Server verwendet: die CURL-Library (für HTTP/HTTPS), das Background Intelligent Transfer Service (BITS) Interface, die WinHTTP-API und verschiedene Mailing-Dienste, die POP3S, SMTPS oder IMAPS-Protokolle verwenden.

Dieser Securelist-Beitrag enthält eine detaillierte technische Analyse sowie die Kompromittierungsindikatoren des bösartigen MosaicRegressor-Frameworks.

Wie man sich vor MosaicRegressor schützt

Um sich vor MosaicRegressor zu schützen, muss man zunächst die vom Spear-Phishing ausgehende Bedrohung neutralisieren. Denn das Spear-Phishing ermöglicht erst einen so ausgeklügelten Angriff. Für den maximalen Schutz der Mitarbeitercomputer empfehlen wir eine Kombination aus Schutzlösungen mit fortschrittlichen Anti-Phishing-Technologien sowie die Sensibilisierung der Mitarbeiter gegenüber Phishing-Angriffen.

Unsere Sicherheitslösungen erkennen bösartige Datendiebstahlmodule.

Bezüglich der kompromittierten Firmware wissen wir leider nicht genau, wie das Bootkit auf den Rechnern der Opfer gelangt ist. Laut den Daten des Leaks von Hacking Team, benötigten die Angreifer vermutlich physischen Zugriff auf die Rechner und infizierten sie mit einem USB-Stick. Leider können andere UEFI-Kompromittierungsmethoden nicht ausgeschlossen werden.

Unternehmen Sie folgende Schritte, um sich vor dem MosaicRegressor UEFI Bootkit zu schützen:

  • Prüfen Sie auf der Website Ihres Computer- oder Motherboard-Herstellers, ob Ihre Hardware den Intel Boot Guard unterstützt, der die unbefugte Änderung der UEFI-Firmware verhindert.
  • Verschlüsseln Sie Ihre Festplatte, um die schädlichen Auswirkungen des Bootkits zu verhindern.
  • Verwenden Sie eine zuverlässige Sicherheitslösung, die Bedrohungen dieser Art scannen und identifizieren kann. Seit 2019 sind unsere Produkte in der Lage, nach Bedrohungen zu suchen, die sich im ROM-BIOS und in der UEFI-Firmware verstecken. Tatsächlich hat unsere dezidierte Firmware-Scanner-Technologie diesen Angriff aufgedeckt.
Tipps