MosaicRegressor
MosaicRegressor rappresenta solo la seconda volta che è stato osservato che il rootkit UEFI viene distribuito in natura. UEFI è l'acronimo di Unified Extensible Firmware Interface ed è un bersaglio davvero interessante per gli operatori di malware perché è installato su una memoria flash SPI (Serial Peripheral Interface Bus) saldata direttamente alla scheda madre del computer. Di conseguenza, qualsiasi malware che lo sfrutta raggiungerà un'enorme persistenza sul sistema compromesso, poiché non verrà modificato dalla reinstallazione del sistema operativo o da eventuali modifiche ai dischi rigidi.
Il nome MosaicRegressor è stato dato a questo rootkit UEFI dai ricercatori che lo hanno scoperto per primi. Secondo le loro scoperte, MosaicRegressor non è stato costruito da zero. Invece, gli hacker hanno preso il codice del bootkit VectorEDK di Hacking Team, che è trapelato nel 2015, e lo hanno modificato pesantemente. I cybercriminali hanno creato un framework piuttosto complesso per le attività del rootkit. Incorpora più downloader e diversi caricatori intermedi prima che i moduli di payload finali vengano rilasciati sul sistema compromesso. La sofisticata struttura e il fatto che i moduli danneggiati vengano eseguiti solo dopo aver ricevuto l'apposito comando dagli hacker creano ostacoli significativi per le analisi del rootkit. Tuttavia, i ricercatori di sicurezza sono stati in grado di determinare che un particolare modulo era responsabile della raccolta, dell'archiviazione e dell'esfiltrazione di tutti i dati trovati nella cartella Documenti recenti.
Le vittime di MosaicRegressor condividono la connessione nordcoreana
Entità provenienti da diversi continenti sembrano essere tra le vittime di MosaicRegressor. Il rootkit è stato trovato sui computer di diverse organizzazioni non governative (ONG) ed entità diplomatiche situate in Europa, Africa e Asia per i due anni tra il 2017 e il 2019. L'unico filo conduttore tra le vittime che i ricercatori di cybersecurity sono stati in grado di trovare è la loro posizione in Corea del Nord. Tutte le organizzazioni interessate erano presenti nel paese o svolgevano attività senza scopo di lucro ad esso correlate. In effetti, uno dei vettori di attacco impiegati dagli hacker era quello di distribuire file SFX avvelenati camuffati da documenti che discutevano di vari argomenti legati alla Corea del Nord.
