Búsca en Seguridad y Firewall


Segundo rootkit UEFI detectado en ataques contra diplomáticos con vínculos con Corea del Norte

Diego Cortes Robles martes, octubre 06, 2020Compartir:


Se detecto un rootkit UEFI en campañas de ciberespionaje dirigidos a diplomáticos o miembros de organizaciones no gubernamentales de África, Asia y Europa. El rootkit es parte de un conjunto de malware llamado Mosaic Regressor según un informe de Kaspersky.

Según los investigadores, el malware estaría detrás de actores de amenaza de habla China ya que según la infraestructura analizada y la revisión de la campaña sugieren la participacion de estos, por la conexión con grupos de piratas informáticos por el uso del backdoor Winnty.

El análisis reveló que el firmware malicioso contenía cuatro componentes: dos controladores DXE y dos aplicaciones UEFI. Según los investigadores, el firmware UEFI malicioso se basa en el código fuente filtrado del bootkit VectorEDK desarrollado por HackingTeam, un fabricante italiano ahora desaparecido de herramientas de piratería, exploits y software de vigilancia. Las herramientas de la empresa (incluido el kit de herramientas VectorEDK) se filtraron en línea después de un gran hackeo en 2015. Según su manual, VectorEDK proporciona acceso físico a la computadora de la víctima.

“Mientras que el kit de arranque original de Hacking Team se usó para escribir una de las puertas traseras de la compañía en el disco, conocida como 'Soldier', 'Scout' o 'Elite', el implante UEFI que investigamos desplegó una nueva pieza de malware que no hemos visto así lejos. Decidimos buscar muestras similares que compartan cadenas y rasgos de implementación con el binario eliminado. En consecuencia, las muestras que encontramos sugirieron que el malware eliminado era solo una variante derivada de un marco más amplio que llamamos MosaicRegressor ”, explicó Kaspersky.

El marco MosaicRegressor es un marco modular y de múltiples etapas diseñado para el espionaje y la recopilación de datos. Contiene descargadores que obtienen y ejecutan cargas útiles en las máquinas víctimas. Su estructura modular permite a los atacantes ocultar el marco más amplio del análisis e implementar componentes en las máquinas objetivo solo a pedido.

“Los componentes del descargador de MosaicRegressor se componen de una lógica comercial común, mediante la cual los implantes se ponen en contacto con un C&C, descargan más DLL y luego cargan e invocan funciones de exportación específicas desde ellos. La ejecución de los módulos descargados generalmente da como resultado una salida que, a su vez, puede enviarse al C&C ”, dijeron los investigadores.

Al ponerse en contacto con sus servidores de comando y control, los descargadores utilizan varios mecanismos de comunicación, incluida la biblioteca CURL (HTTP / HTTPS), la interfaz de transferencia BITS, POP3S / SMTPS / IMAPS y la API WinHTTP.

“Es muy poco común ver firmware UEFI comprometido en la naturaleza, generalmente debido a la baja visibilidad de los ataques al firmware, las medidas avanzadas necesarias para implementarlo en el chip flash SPI de un objetivo y las altas apuestas de quemar activos o conjuntos de herramientas sensibles cuando haciéndolo. Vemos que UEFI sigue siendo un punto de interés para los actores de APT, mientras que los proveedores de seguridad lo pasan por alto en general. La combinación de nuestra tecnología y la comprensión de las campañas actuales y pasadas que aprovechan el firmware infectado nos ayuda a monitorear e informar sobre futuros ataques contra tales objetivos ”, concluye el informe.

IOC

Módulos UEFI

F5B320F7E87CC6F9D02E28350BB87DE6 (SmmInterfaceBase)
0C136186858FD36080A7066657DE81F5 (SmmAccessSub)
91A473D3711C28C3C563284DFAFE926B (SmmReset)
DDAED100D32973872

Goteros RAR SFX

0EFB785C75C3030C438698C77F6E960E
12B5FED367DB92475B071B6D622E44CD
3B3BC0A2772641D2FC2E7CBC6DDA33EC
3B58E122D9E17121416B146DAAB4DB9D
70DEF87D180616406E010051ED773749
7908B9935479081A6E0F681CCEF2FDD9
AE66ED2276336668E793B167B6950040
B23E1FE87AE049F46180091D643C0201
CFB072D1B50425FF162F02846ED263F9

Documentos señuelo

0D386EBBA1CCF1758A19FB0B25451AFE
233B300A58D5236C355AFD373DABC48B
449BE89F939F5F909734C0E74A0B9751
67CF741E627986E97293A8F38DE492A7
6E949601EBDD5D50707C0AF7D3F3C7A5
92F6C00DA977110200B5A3359F5E1462
A69205984849744C39CFB421D8E97B1F
D197648A3FB0D8FF6318DB922552E49E

BitsReg

B53880397D331C6FE3493A9EF81CD76E
AFC09DEB7B205EADAE4268F954444984 (64 bits)

BitsRegEx

DC14EE862DDA3BCC0D2445FDCB3EE5AE
88750B4A3C5E80FD82CF0DD534903FC0
C63D3C25ABD49EE131004E6401AF856C
D273CD2B96E78DEF437D9C1E37155E08
72C514C31C

CurlReg

9E182D30B070BB14A8922CFF4837B94D
61B4E0B1F14D93D7B176981964388291
3D2835C35BA789BD86620F98CBFBF08B

CurlRegEx

328AD6468F6EDB80B3ABF97AC39A0721
7B213A6CE7AB30A62E84D81D455B4DEA

MailReg

E2F4914E38BB632E975CFF14C39D8DCD

Descargadores basados ​​en WinHTTP

08ECD8068617C86D7E3A3E810B106DCE
1732357D3A0081A87D56EE1AE8B4D205
74DB88B890054259D2F16FF22C79144D
7C3C4C4E7273C10DBBAB628F6B2336D8

Carga útil de BitsReg (FileA.z)

89527F932188BD73572E2974F4344D46

Cargadores de segunda etapa

36B51D2C0D8F48A7DC834F4B9E477238 (mapisp.dll)
1C5377A54CBAA1B86279F63EE226B1DF (cryptui.sep)
9F13636D5861066835ED5A79819AAC28 (cryptui.sep)

Carga útil de la tercera etapa

FA0A874926453E452E3B6CED045D2206 (load.rem)

Rutas de archivo

% APPDATA% \ Microsoft \ Credentials \ MSI36C2.dat
% APPDATA% \ Microsoft \ Internet Explorer \
% Nombre del equipo% .dat % APPDATA% \ Microsoft \ Internet Explorer \ FileA.dll
% APPDATA% \ Microsoft \ Internet Explorer \ FileB.dll
% APPDATA% \ Microsoft \ Internet Explorer \ FileC.dll
% APPDATA% \ Microsoft \ Internet Explorer \ FileD.dll
% APPDATA% \ Microsoft \ Internet Explorer \ FileOutA.dat
% APPDATA% \ Microsoft \ Network \ DFileA.dll
% APPDATA% \ Microsoft \ Network \ DFileC.dll
% APPDATA% \ Microsoft \ Network \ DFileD.dll
% APPDATA% \ Microsoft \ Network \ subst.sep
% APPDATA% \ Microsoft \ WebA.dll
% APPDATA% \ Microsoft \ WebB.dll
% APPDATA% \ Microsoft \ WebC.dll
% APPDATA% \ Microsoft \ Windows \ LnkClass.dat
% APPDATA% \ Microsoft \ Windows \ SendTo \ cryptui.sep
% APPDATA% \ Microsoft \ Windows \ SendTo \ load.dll% APPDATA% \ Microsoft \ Windows \ load.rem
% APPDATA% \ Microsoft \ Windows \ mapisp.dll
% APPDATA % \ Microsoft \ exitUI.rs
% APPDATA% \ Microsoft \ sppsvc.tbl
% APPDATA% \ Microsoft \ subst.tbl
% APPDATA% \ newplgs.dll
% APPDATA% \ rfvtgb.dll
% APPDATA% \ sdfcvb.dll
% APPDATA% \ msreg.dll
% APPDATA \ Microsoft \ dfsadu.dll
% COMMON_APPDATA% \ Microsoft \ Windows \ user.rem
% TEMP% \ BeFileA.dll
% TEMP% \ BeFileC.dll
% TEMP% \ RepairA.dll
% TEMP% \ RepairB.dll
% TEMP% \ RepairC.dll
% TEMP% \ RepairD.dll
% TEMP% \ wrtreg_32.dll
% TEMP% \ wrtreg_64.dll
% appdata% \ dwhost.exe
% appdata% \ msreg.exe
% appdata% \ return.exe
% appdata% \ winword.exe

Dominios e IP

103.195.150 [.] 106
103.229.1 [.] 26
103.243.24 [.] 171
103.243.26 [.] 211
103.30.40 [.] 116
103.30.40 [.] 39
103.39.109 [.] 239
103.39 .109 [.] 252
103.39.110 [.] 193
103.56.115 [.] 69
103.82.52 [.] 18
117.18.4 [.] 6
144.48.241 [.] 167
144.48.241 [.] 32
150.129. 81 [.] 21
43.252.228 [.] 179
43.252.228 [.] 252
43.252.228 [.] 75
43.252.228 [.] 84
43.252.230 [.] 180
menjitghyukl.myfirewall [.] Org

C & C adicionales sospechosos

43.252.230 [.] 173
185.216.117 [.] 91
103.215.82 [.] 161
103.96.72 [.] 148
122.10.82 [.] 30

Mutexes

FindFirstFile Message Bi
establece estado de instancia
foregrounduu estado módulo de oficina de
interfaz de usuario única proceso adjuntar módulo

https://securelist.com/mosaicregressor/98849/

Tags

Atención!: Hemos usado imagenes que nosotros hemos encontramos como libres, si detectas que alguna imagen te pertenece o consideras que estamos violando algún derecho de Autor avisanos inmediatamente al correo o por Inbox de Facebook y retiraremos la imagen inmediatamente. Solo adjuntanos el link. De ante mano muchas gracias!

Ayudanos a crecer!