MosaicRegressor

MosaicRegressor Beskrivelse

MosaicRegressor repræsenterer kun anden gang, at UEFI rootkit er blevet observeret at blive indsat i naturen. UEFI står for Unified Extensible Firmware Interface og er et virkelig saftigt mål for malware-operatører, fordi det er installeret på et Serial Peripheral Interface Bus (SPI) flash-lager, der loddes direkte på computerens bundkort. Som et resultat vil enhver malware, der udnytter den, opnå enorm vedholdenhed på det kompromitterede system, da det ikke vil blive ændret ved geninstallation af operativsystemet eller ændringer på harddiskene.

Navnet MosaicRegressor fik dette UEFI rootkit af forskerne, der først opdagede det. Ifølge deres fund blev MosaicRegressor ikke bygget fra bunden. I stedet tog hackerne koden til Hacking Teams VectorEDK bootkit, som blev lækket tilbage i 2015 og ændrede den kraftigt. Cyberkriminelle skabte en ret kompleks ramme for rootkits aktiviteter. Den indeholder flere downloadere og flere mellemliggende loadere, inden de endelige nyttelastmoduler falder på det kompromitterede system. Den sofistikerede struktur og det faktum, at de beskadigede moduler kun udføres, når de modtager den passende kommando fra hackerne, skaber betydelige hindringer for analyserne af rootkit. Ikke desto mindre var sikkerhedsforskere i stand til at bestemme, at et bestemt modul var ansvarlig for at indsamle, arkivere og derefter exfiltrere alle data, der blev fundet i mappen Recent Documents.

Mosaikens ofre ofre Nordkoreanske forbindelse

Enheder fra flere forskellige kontinenter ser ud til at være blandt ofrene for MosaicRegressor. Rootsættet blev fundet på computere fra flere ikke-statslige organisationer (NGO'er) og diplomatiske enheder i Europa, Afrika og Asien i de to år mellem 2017 og 2019. Den eneste røde tråd mellem ofrene, som cybersikkerhedsforskerne var i stand til at finde er deres placering Nordkorea. Alle berørte organisationer var til stede i landet eller gennemførte nonprofit-aktiviteter i forbindelse med det. Faktisk var en af de angrebsvektorer, der blev brugt af hackerne, at distribuere forgiftede SFX-filer forklædt som dokumenter, der diskuterede forskellige emner i Nordkorea.