資安廠商發現第二個以 UEFI 為攻擊目標的惡意軟體.png

資安廠商日前發現第二個以 UEFI 為攻擊目標的惡意軟體 MosaicRegressor,被駭侵團體用來攻擊亞洲、歐洲和非洲各國的外交單位。

俄羅斯資安廠商卡巴斯基日前發表研究報告,指出該公司的研究人員發現第二個以 UEFI 為攻擊目標的惡意軟體,並將其命名為 MosaicRegressor。這個惡意軟體被駭侵團體用來攻擊亞洲、歐洲和非洲各國的外交單位。

UEFI 是 Unified Extensible Firmware Interface 的縮寫,儲存在電腦主機板上的 Flash 記憶體中,是電腦開機時最先執行的軟體程式;其功能為在載入作業系統之前,預先設定好電腦上的所有硬體裝置,因此非常重要。

駭侵者如果能成功在 UEFI 中注入惡意程式碼,不但難以自作業系統中將之清除,甚至還可以做到清除掉整個受害電腦作業系統、格式化任何儲存裝置。

卡巴斯基指出,要發動 UEFI 攻擊有一定的難度;駭侵者必須能夠實體存取受害電腦,或是透過複雜的供應鏈攻擊來進行。

根據卡巴斯基的資料,MosaicRegressor 的攻擊活動記錄約自 2017 到 2019 年之間,主要的攻擊對象為亞、歐、非各國的外交單位或非政府組織;其中有兩台電腦每次重新開機後都會自動再次安裝惡意軟體,顯示其 UEFI 已遭注入惡意程式碼。

目前卡巴斯基還無法解釋整個攻擊的流程。

最早發現的 UEFI 攻擊惡意軟體係在 2018 年,由另一家資安廠商 ESET 發現;當時是由俄羅斯支持的 APT 駭侵團體 Facny Bear 用來發展 Rootkit 攻擊工具,並發動多起攻擊行動。

  • 參考連結

https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2020/10/05094208/MosaicRegressor_Technical-details.pdf

https://securelist.com/mosaicregressor/98849/

https://www.computing.co.uk/news/4021218/kaspersky-uefi-malware-attacks

arrow
arrow
    文章標籤
    TWCERTCC TWCERT 台灣電腦網路危機處理暨協調中心 UEFI 攻擊目標 惡意軟體 MosaicRegressor 惡意程式
    全站熱搜

    twcert 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄