{"id":25417,"date":"2020-10-09T14:38:52","date_gmt":"2020-10-09T12:38:52","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=25417"},"modified":"2020-10-09T14:38:52","modified_gmt":"2020-10-09T12:38:52","slug":"mosaicregressor-uefi-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/mosaicregressor-uefi-malware\/25417\/","title":{"rendered":"MosaicRegressor l\u00e4dt Malware \u00fcber das UEFI-Bootkit herunter"},"content":{"rendered":"

Vor kurzem haben unsere Forscher einen ausgekl\u00fcgelten gezielten Angriff<\/a> entdeckt, der Diplomaten und NGOs in Afrika, Asien und Europa im Visier hat.\u00a0 Nach unseren derzeitigen Analysen standen alle Opfer in irgendeiner Weise (durch gemeinn\u00fctzige Hilfe oder diplomatische Beziehungen) mit Nordkorea in Verbindung.<\/p>\n

Die Angreifer nutzten ein ausgefeiltes, modulares Cyberspionage-Framework, das unsere Forscher als MosaicRegressor<\/em> tauften. Unseren Untersuchungen zufolge gelang die Malware in einigen F\u00e4llen durch modifizierte UEFIs in die Rechner der Opfer, was sonst eigentlich eher extrem selten ist. In den meisten F\u00e4llen nutzten die Angreifer die traditionellere Angriffsmethode des Spear-Phishings.<\/p>\n

Was ist UEFI und wieso ist das Bootkit gef\u00e4hrlich?<\/h2>\n

UEFI ist der Nachfolger von BIOS und ist daher eine Software, die beim Hochfahren des Rechners gestartet wird, noch bevor das Betriebssystem ausgef\u00fchrt wird. \u00dcbrigens wird das UEFI nicht auf der Festplatte gespeichert, sondern auf einem Chip, der im Motherboard integriert ist. Sollten Cyberkriminelle den UEFI-Code modifizieren, k\u00f6nnen sie ihn zur potenziellen Einschleusung von Malware im System des Opfers verwenden.<\/p>\n

Wir haben genau dieses Angriffsschema bei den erw\u00e4hnten Angriffen entdeckt. Dar\u00fcber hinaus nutzten die Angreifer den VectorEDK-Quellcode, um ihre eigene modifizierte UEFI-Firmware zu erstellen. Bei diesem Quellcode handelt es sich um ein Bootkit von Hacking Team, das online geleakt wurde. Und obwohl der Quellcode bereits 2015 \u00f6ffentlich zug\u00e4nglich wurde, sehen wir es zum ersten Mal bei einem cyberkriminellen Angriff.<\/p>\n

Beim Systemstart hinterlegt das Bootkit die b\u00f6sartige Datei IntelUpdate.exe im Systemstartordner. Die ausf\u00fchrbare Datei l\u00e4dt und installiert dann eine weitere Komponente von MosaicRegressor auf dem Computer. Auch wenn die b\u00f6sartige UEFI-Datei entdeckt wird, ist es angesichts der relativen Unantastbarkeit von UEFI fast unm\u00f6glich, sie zu entfernen. Sowohl die L\u00f6schung der Malware als auch die Neuinstallation des Betriebssystems sind nutzlos. Die einzige L\u00f6sung besteht darin, das Motherboard neu zu flashen.<\/p>\n\n

Wie gef\u00e4hrlich ist MosaicRegressor?<\/h2>\n

Die Komponenten von MosaicRegressor, die entweder durch ein kompromittiertes UEFI oder gezieltes Phishing in das System der Opfer eingeschleust wurden, verbinden sich mit ihren C&C-Servern und laden zus\u00e4tzliche Module herunter, die sie danach ausf\u00fchren, um Informationen zu stehlen. Einer dieser Module sendet dem Angreifer z. B. die k\u00fcrzlich ge\u00f6ffneten Dokumente des Opfers.<\/p>\n

Verschiedene Mechanismen wurden zur Kommunikation mit dem C&C-Server verwendet: die CURL-Library (f\u00fcr HTTP\/HTTPS), das Background Intelligent Transfer Service (BITS) Interface, die WinHTTP-API und verschiedene Mailing-Dienste, die POP3S, SMTPS oder IMAPS-Protokolle verwenden.<\/p>\n

Dieser Securelist-Beitrag<\/a> enth\u00e4lt eine detaillierte technische Analyse sowie die Kompromittierungsindikatoren des b\u00f6sartigen MosaicRegressor-Frameworks.<\/span><\/span><\/p>\n

Wie man sich vor MosaicRegressor sch\u00fctzt<\/h2>\n

Um sich vor MosaicRegressor zu sch\u00fctzen, muss man zun\u00e4chst die vom Spear-Phishing ausgehende Bedrohung neutralisieren. Denn das Spear-Phishing erm\u00f6glicht erst einen so ausgekl\u00fcgelten Angriff. F\u00fcr den maximalen Schutz der Mitarbeitercomputer empfehlen wir eine Kombination aus Schutzl\u00f6sungen mit fortschrittlichen Anti-Phishing-Technologien sowie die Sensibilisierung der Mitarbeiter<\/a> gegen\u00fcber Phishing-Angriffen.<\/p>\n

Unsere Sicherheitsl\u00f6sungen<\/a>\u00a0erkennen b\u00f6sartige Datendiebstahlmodule.<\/p>\n

Bez\u00fcglich der kompromittierten Firmware wissen wir leider nicht genau, wie das Bootkit auf den Rechnern der Opfer gelangt ist. Laut den Daten des Leaks von Hacking Team, ben\u00f6tigten die Angreifer vermutlich physischen Zugriff auf die Rechner und infizierten sie mit einem USB-Stick. Leider k\u00f6nnen andere UEFI-Kompromittierungsmethoden nicht ausgeschlossen werden.<\/p>\n

Unternehmen Sie folgende Schritte, um sich vor dem MosaicRegressor UEFI Bootkit zu sch\u00fctzen:<\/p>\n