MosaicRegressor
MosaicRegressor vertegenwoordigt pas de tweede keer dat is waargenomen dat de UEFI-rootkit in het wild wordt ingezet. UEFI staat voor Unified Extensible Firmware Interface en is een echt sappig doelwit voor malware-operators omdat het is geïnstalleerd op een Serial Peripheral Interface Bus (SPI) flash-opslag die rechtstreeks op het moederbord van de computer is gesoldeerd. Als gevolg hiervan zal elke malware die er misbruik van maakt, een enorme persistentie bereiken op het gecompromitteerde systeem, aangezien het niet zal worden gewijzigd door de herinstallatie van het besturingssysteem of enige wijzigingen aan de harde schijven.
De naam MosaicRegressor werd aan deze UEFI-rootkit gegeven door de onderzoekers die hem voor het eerst ontdekten. Volgens hun bevindingen is MosaicRegressor niet helemaal opnieuw opgebouwd. In plaats daarvan namen de hackers de code van de VectorEDK-bootkit van Hacking Team, die in 2015 uitlekte, en veranderden deze ingrijpend. De cybercriminelen creëerden een vrij complex raamwerk voor de activiteiten van de rootkit. Het bevat meerdere downloaders en verschillende tussenladers voordat de laatste payload-modules op het gecompromitteerde systeem worden neergezet. De geavanceerde structuur en het feit dat de beschadigde modules alleen worden uitgevoerd na ontvangst van het juiste commando van de hackers, vormen aanzienlijke obstakels voor de analyses van de rootkit. Desalniettemin konden beveiligingsonderzoekers vaststellen dat een bepaalde module verantwoordelijk was voor het verzamelen, archiveren en vervolgens exfiltreren van alle gegevens in de map Recent Documents.
De slachtoffers van MosaicRegressor delen de Noord-Koreaanse connectie
Entiteiten uit verschillende continenten lijken tot de slachtoffers van MosaicRegressor te behoren. De rootkit werd gevonden op computers van verschillende niet-gouvernementele organisaties (ngo's) en diplomatieke entiteiten in Europa, Afrika en Azië gedurende de twee jaar tussen 2017 en 2019. De enige rode draad tussen de slachtoffers die de cybersecurity-onderzoekers konden vinden is hun locatie in Noord-Korea. Alle getroffen organisaties waren aanwezig in het land of voerden daarmee gerelateerde non-profitactiviteiten uit. In feite was een van de aanvalsvectoren die door de hackers werden gebruikt, het verspreiden van vergiftigde SFX-bestanden, vermomd als documenten waarin verschillende Noord-Koreaanse gerelateerde onderwerpen werden besproken.
