MosaicRegressor

MosaicRegressor Opis

MosaicRegressor predstavlja tek drugi put da je primijećeno da je UEFI rootkit postavljen u divljini. UEFI je skraćenica od Unified Extensible Firmware Interface i uistinu je sočna meta za operatore zlonamjernog softvera jer je instaliran na flash memoriji serijskog perifernog sučelja (SPI) koja je izravno zalemljena na matičnu ploču računala. Kao rezultat, svaki zlonamjerni softver koji ga iskorištava postići će strahovitu postojanost na ugroženom sustavu, jer se neće mijenjati ponovnom instalacijom OS-a ili bilo kakvim promjenama na tvrdom disku.

Ime MosaicRegressor ovom su UEFI rootkitu dali istraživači koji su ga prvi otkrili. Prema njihovim nalazima, MosaicRegressor nije izgrađen od nule. Umjesto toga, hakeri su uzeli kod VectorEDK bootkita tima za hakiranje, koji je procurio još 2015., i uvelike ga izmijenili. Kibernetski kriminalci stvorili su prilično složen okvir za aktivnosti rootkita. Sadrži više preuzimača i nekoliko srednjih učitavača prije nego što konačni moduli korisnog tereta padnu na ugroženi sustav. Sofisticirana struktura i činjenica da se oštećeni moduli izvršavaju tek nakon primanja odgovarajuće naredbe od hakera stvaraju značajne prepreke za analizu rootkita. Unatoč tome, istraživači sigurnosti uspjeli su utvrditi da je jedan određeni modul odgovoran za prikupljanje, arhiviranje i zatim eksfiltraciju svih podataka pronađenih u mapi Nedavni dokumenti.

Žrtve mozaičnog regresa dijele sjevernokorejsku vezu

Čini se da su entiteti s nekoliko različitih kontinenata među žrtvama MosaicRegressor-a. Rootkit je pronađen na računalima nekoliko nevladinih organizacija (NVO) i diplomatskih tijela smještenih u Europi, Africi i Aziji tijekom dvije godine između 2017. i 2019. Jedina zajednička nit žrtava koju su istraživači kibernetičke sigurnosti uspjeli pronaći je njihovo mjesto Sjeverna Koreja. Sve pogođene organizacije bile su prisutne u zemlji ili su s njom provodile neprofitne aktivnosti. U stvari, jedan od vektora napada koji su koristili hakeri bio je distribucija otrovanih SFX datoteka prerušenih u dokumente koji raspravljaju o raznim temama povezanim sa Sjevernom Korejom.