Home IT Sicherheits Updates Experten entdecken neues „CosmicStrand“-UEFI-Firmware-Rootkit, das von chinesischen Hackern verwendet wird

Experten entdecken neues „CosmicStrand“-UEFI-Firmware-Rootkit, das von chinesischen Hackern verwendet wird

by nwna_de

Einem unbekannten chinesischsprachigen Bedrohungsakteur wurde eine neue Art von ausgeklügeltem UEFI-Firmware-Rootkit namens zugeschrieben Kosmischer Strand.

„Das Rootkit befindet sich in den Firmware-Images von Gigabyte- oder ASUS-Motherboards, und wir haben festgestellt, dass alle diese Images mit Designs mit dem H81-Chipsatz zusammenhängen“, so die Kaspersky-Forscher sagte in einem neuen, heute veröffentlichten Bericht. “Dies deutet darauf hin, dass möglicherweise eine gemeinsame Schwachstelle existiert, die es den Angreifern ermöglichte, ihr Rootkit in das Image der Firmware zu injizieren.”

Bei den identifizierten Opfern soll es sich um Privatpersonen in China, Vietnam, Iran und Russland handeln, ohne erkennbare Verbindungen zu Organisationen oder Branchen. Die Zuordnung zu einem chinesischsprachigen Bedrohungsakteur ergibt sich aus Codeüberschneidungen zwischen CosmicStrand und anderer Malware wie dem MyKings-Botnet und MoonBounce.

Rootkits, Malware-Implantate, die sich in die tiefsten Schichten des Betriebssystems einbetten können, haben sich von einer Seltenheit zu einem immer häufigeren Vorkommen in der Bedrohungslandschaft entwickelt und rüsten Bedrohungsakteure mit Tarnung und Persistenz für längere Zeit aus.

Internet-Sicherheit

Solche Arten von Malware „sorgen dafür, dass ein Computer in einem infizierten Zustand bleibt, selbst wenn das Betriebssystem neu installiert wird oder der Benutzer die Festplatte des Computers vollständig austauscht“, sagten die Forscher.

CosmicStrand, eine nur 96,84 KB große Datei, ist auch der zweite UEFI-Rootkit-Stamm, der in diesem Jahr entdeckt wurde, nach MoonBounce im Januar 2022, das als Teil einer gezielten Spionagekampagne der mit China verbundenen Advanced Persistent Threat Group (APT41) eingesetzt wurde als Winti.

Obwohl der anfängliche Zugriffsvektor der Infektionen ein Rätsel ist, umfassen die Aktionen nach der Kompromittierung Änderungen an einem Treiber namens CSMCORE DXE, um die Codeausführung auf ein vom Angreifer kontrolliertes Segment umzuleiten, das während des Systemstarts ausgeführt werden soll, was letztendlich dazu führt zur Bereitstellung einer Malware in Windows.

Mit anderen Worten, das Ziel des Angriffs besteht darin, den Ladeprozess des Betriebssystems zu manipulieren, um bei jedem Start ein Kernel-Level-Implantat auf einem Windows-Computer bereitzustellen, wobei dieser fest verankerte Zugriff zum Starten von Shellcode verwendet wird, der eine Verbindung zu einem Remote-Server herstellt, um das aktuelle abzurufen schädliche Payload, die auf dem System ausgeführt werden soll.

Internet-Sicherheit

Die genaue Art der Malware der nächsten Stufe, die vom Server empfangen wird, ist noch unklar. Bekannt ist, dass diese Payload aus „update.bokts[.]com” als eine Reihe von Paketen mit 528 Byte-Daten, die anschließend wieder zusammengesetzt und als Shellcode interpretiert werden.

Die von der [command-and-control] Server könnten Stager für von Angreifern bereitgestellte ausführbare PE-Dateien sein, und es ist sehr wahrscheinlich, dass noch viele weitere existieren“, bemerkte Kaspersky und fügte hinzu, dass insgesamt zwei Versionen des Rootkits gefunden wurden, von denen eine zwischen Ende 2016 und Mitte 2017 verwendet wurde , und die neueste Variante, die 2020 aktiv war.

Interessanterweise der chinesische Cybersicherheitsanbieter Qihoo360, der Licht ins Dunkel bringt frühe Version des Rootkits im Jahr 2017 die Möglichkeit, dass die Codeänderungen das Ergebnis eines Backdoor-Motherboards waren, das von einem Second-Hand-Händler erworben wurde.

„Der auffälligste Aspekt […] ist, dass dieses UEFI-Implantat anscheinend seit Ende 2016 in freier Wildbahn verwendet wurde – lange bevor UEFI-Angriffe öffentlich beschrieben wurden“, sagten die Forscher. „Diese Entdeckung wirft eine letzte Frage auf: ob die Angreifer dies zurück verwendeten was verwenden sie dann heute?”

Via HN